Das OLG Köln hat am 23. Mai 2025 im Eilverfahren den Antrag der Verbraucherzentrale NRW zurückgewiesen, mit dem diese Meta das KI-Training verbieten wollte. Nachdem sich bereits die Irische Datenschutzbehörde positiv geäußert hatte, vertrat nun auch das OLG Köln diese Ansicht. Kritisch bleibt allerdings weiterhin der Hamburger Datenschutzbeauftragte.
Meta – Betreiberin von Diensten wie Facebook und Instagram – hatte Mitte 2024 angekündigt, die öffentlichen Beiträge von EU-Nutzern für KI-Trainingszwecke zu verwenden. Meta informierte Nutzer entsprechend, dass sie bis zum 27. Mai 2025 aktiv widersprechen können. Die Ankündigung löste zum einen kontroverse Debatten in der Öffentlichkeit aus. Zum anderen stellten sich auch grundsätzliche Fragen der Auslegung des europäischen Datenrechts, insbesondere Datenschutz-Grundverordnung (DSGVO) und Digital Markets Act (DMA). Die relevanten Rechtsfragen sind für alle Unternehmen von Interesse, die KI einsetzen wollen. Denn es geht um die Zulässigkeit der Verwendung von Bestandsdaten für das Training oder die Verbesserung von KI – jedenfalls wenn darin personenbezogene Daten enthalten sind.
Rechtlicher Hintergrund
Wer personenbezogene Daten wie etwa Facebook-Post verarbeitet, benötigt eine Rechtsgrundlage. Meta stützt sich in Bezug auf das KI-Training auf das sog. „berechtigte Interesse“. Somit ermöglicht Meta den betroffenen Nutzern, der Datennutzung zu widersprechen (Opt-Out). Meta hatte insoweit Nutzern per E-Mail informiert. Verbraucherschützer fordern hingegen eine andere Rechtsgrundlage. Sie halten eine Einwilligung der betroffenen Nutzer für erforderlich (Opt-in). Sie machen dabei insbesondere geltend, dass besondere Kategorien personenbezogener Daten verarbeitet würden, wie Gesundheitsdaten – für deren Verarbeitung reicht ein „berechtigtes Interesse“ aber nicht aus. In der Praxis würde ein Opt-In erfahrungsgemäß bedeuten, dass Meta einen Großteil der Daten nicht nutzen könne, weil die Mehrheit nicht aktiv zustimme. Umgekehrt werde aber ein Großteil kein Opt-Out erklären. Im Rahmen der Diskussion spielt bei Meta auch die Eigenschaft als benannter sog. Torwächter nach dem DMA eine Rolle.
Konträre Ansichten der Datenschutzbehörden
Während sich die Irische Datenschutzbehörde, federführend für Meta, jüngst in einer Pressemitteilung positiv zu dem Vorhaben von Meta äußerte, kamen noch kritische Stimmen aus Hamburg. Nach einem über einjährigen Verfahren vor der Irischen Datenschutzaufsicht, in dem Meta den von der Datenschutzbehörde angemeldeten Bedenken durch Konzeptänderungen Rechnung trug, ließ die Behörde Meta gewähren, behält sich aber eine Evaluierung im Oktober 2025 vor. Im Rahmen des Verfahrens wurde u.a. auch der Europäische Datenschutzausschuss – ein Verbund aller europäischen Datenschutzbehörden – eingebunden, um eine europäische Harmonisierung zu erreichen. Meta setzte im Zuge des Verfahrens bestimmte Verbesserungen um, z.B. verbesserte Transparenzhinweise oder leichter zu nutzende Widerspruchsformulare.
Der Hamburger Datenschutzbeauftragte (HmbBfDI) vertritt allerdings eine andere Auffassung. Laut Presseberichten eröffnete der HmbBfDI kurz vor dem Startschuss des KI-Trainings durch Meta ein Dringlichkeitsverfahren gegen Meta. Meta muss sich hier bis zum 26.Mai 2025 äußern. Der HmbBfDI beabsichtigt, Meta das KI-Training für zumindest drei weitere Monate für deutsche Betroffene zu untersagen.
Verfahren vor dem OLG Köln
Besondere Aufmerksamkeit erhält die Sache vor allem durch das Eilverfahren vor dem Oberlandesgericht (OLG) Köln. Deutsche und Europäische Verbraucherschützer halten das Vorgehen von Meta für rechtswidrig. Die Verbraucherzentrale NRW beantragte daher eine einstweilige Verfügung (15 UKl 2/25), um das KI-Training zumindest vorläufig zu stoppen. Sie bemängelte insbesondere, dass Meta keine taugliche Rechtsgrundlage für die Datenverarbeitung anführen könne und zudem gegen den DMA verstoße. Denn Meta führe durch das KI-Training unzulässigerweise personenbezogene Daten verschiedener Plattformen zusammen.
Das OLG Köln wies den Antrag zurück. Insbesondere überwögen die Interessen von Meta an der Datenverarbeitung, weil u.a. Meta wirkungsvolle Maßnahmen ergriffen habe, welche den Eingriff in die Rechte der Betroffenen wesentlich abmilderten. Zudem liege keine unzulässige Zusammenführung personenbezogener Daten im Sinne des DMA vor. Meta kombiniere gerade keine auf einzelne Nutzende bezogene Daten.
Von besonderem Interesse für künftige Datenverarbeitungen in Deutschland dürften gleichwohl die Ausführungen des HmbBfDI sein. Dieser war in dem Verfahren als zuständige deutsche Datenschutzbehörde anzuhören. Der HmbBfDI zog insbesondere in Zweifel, dass es überhaupt erforderlich sei, solch große Datenmengen wie von Meta angestrebt zu verarbeiten. Gegenüber TW betonte der HmbBfDI seine Rechtsauffassung, dass die von Meta als risikomindernde Maßnahme angeführte „De-Identifizierung“ – etwa die Entfernung von Daten wie KfZ-Kennzeichen, Kreditkartennummern und ähnliches – nicht uneingeschränkt als risikominimierende Maßnahme im Rahmen der Interessenabwägung angeführt werden könne, weil die Verarbeitung dieser Daten schon gar nicht erforderlich sei. Dies sei letztlich aber eine eher dogmatische Frage.
Darüber hinaus erörterte der HmbBfDI in der insgesamt sechsstündigen Verhandlung noch zahlreiche weitere Themen. So vertrat er etwa die Auffassung, dass die öffentlichen Posts auf den Meta-Plattformen nicht öffentlich seien, wenn sie nur nach einem Log-in einsehbar sind, und führte an, die Verarbeitung der Daten zum Zwecke des KI-Trainings sei jedenfalls bei „historischen“ Daten für die Betroffenen nicht vorhersehbar gewesen. Besonderes Gewicht dürfte bei der künftigen Fallprüfung das Argument haben, dass die betroffenen Daten nur für die Kommunikation auf der Plattform gespeichert wurden, nicht aber für das Training eines davon losgelösten KI-Modells.
Darüber hinaus sei das Widerspruchsrecht für einen Teil der Betroffenen gegenstandslos, nämlich von Personen, die selbst gar kein Facebook-Konto besitzen, etwa Personen, die auf einem geposteten Bild abgebildet sind.
Bewertung und Fazit
Verhandelt wurden in dem Verfahren die Grundfesten des Europäischen Daten(schutz)rechts. Für Unternehmen zeigt das Verfahren zudem, dass es gerade im KI-Training noch erhebliche Unsicherheiten gibt. Vor allem gehen die Behörden in der Europäischen Union nicht einheitlich mit den aufkommenden Rechtsfragen um. Dies fördert Unsicherheiten.
Gleichzeitig zeigt aber insbesondere das umsichtige Vorgehen der Irischen Datenschutzbehörde sowie die Entscheidung des OLG, dass KI-Training mit Bestandsdaten nicht per se unzulässig ist, auch wenn personenbezogene Daten betroffen sind. Die richtige Aufbereitung der Daten unterstützt von Maßnahmen zum Schutz der Betroffenen ist mithin der erste Schritt, um Konflikten mit den Datenschutzbehörden entgegenzuwirken. Hier sollten Entwickler und Juristen eng zusammenwirken.
Vielen Dank an Christian Zander, der das Verfahren live verfolgt und an die Autoren berichtet hat.
Letztes Update: 26.05.2025
