Das OLG Köln hat am 23.05.2025 (Az.: 15 UKI 2/25) in einem Eilverfahren eine wegweisende Entscheidung zum Thema KI-Training mit Nutzerdaten getroffen. Klägerin des Verfahrens war die Verbraucherzentrale Düsseldorf, Beklagte eine Tochtergesellschaft der Meta Platforms, Inc. mit Sitz in den Vereinigten Staaten von Amerika (im Folgenden: „Betreiberin“). Im Kern ging es dabei um die Frage, ob und unter welchen Voraussetzungen die Betreiberin der Webseiten und Apps von Instagram und Facebook in Europa ihre KI mit personenbezogenen Nutzerdaten trainieren darf. Im vorliegenden Fall war besonders zu berücksichtigen, dass die Betreiberin ausschließlich Daten von volljährigen NutzerInnen und auch nur solche Daten verwenden wollte, die diese selbst öffentlich eingestellt hatten (sog. „First Party Data“).
In diesem Beitrag werfen wir einen Blick auf die wesentlichen Inhalte der Entscheidung (2) und beleuchten, welche Relevanz sie für den Datenschutz hat (3). Um die Entscheidung richtig einordnen zu können, bedarf es vorweg einer kurzen Erklärung der Besonderheiten des Eilverfahrens (1):
1. Entscheidung im Eilverfahren
Die vorliegende Entscheidung erging im sog. „Eilverfahren“. Die Klägerin hatte zuvor versucht, eine Abmahnung gegen die Betreiberin zu erreichen – allerdings erfolglos. Aufgrund der Eilbedürftigkeit der Sache (die Betreiberin hatte angekündigt ab dem 27.05.2025 mit dem KI-Training zu starten) stellte die Klägerin nun im Mai einen Antrag auf Erlass einer einstweiligen Untersagungsverfügung. Über einen derartigen Eilantrag entscheiden die Gerichte sehr schnell und aufgrund der Eile nur nach einer sog. „summarischen Prüfung“ im Einzelfall, d. h. im Rahmen der zur Verfügung stehenden Erkenntnismöglichkeiten nach überwiegender Wahrscheinlichkeit.
Konkret bedeutet dies, dass die Entscheidung bis zur Entscheidung in der Hauptsache, für die das Gericht dann mehr Zeit hat, i. d. R. nur vorläufig ist. Es kann also sein, dass das Gericht in dem hier streitgegenständlichen Fall in der Hauptsache zu einem anderen Ergebnis kommt.
2. Wesentlicher Inhalt der Entscheidung
Das OLG wies den Unterlassungsantrag der Verbraucherschutzzentrale als unbegründet zurück und gab damit der Betreiberin im Ergebnis recht. Im Kern argumentierten die Richter, dass das beabsichtigte KI-Training der Beklagten keine Verletzung des 6 Abs. 1 DSGVO (Rechtmäßigkeit der Datenverarbeitung) darstelle. Zudem sahen sie auch keinen Verstoß der Betreiberin gegen Art. 5 UAbs. 1 Abs. 2 b) des DMA (Digital Markets Act–Verordnung (EU) 2022/1925 ). Hierzu im Einzelnen:
a) Kein Verstoß gegen die DSGVO
Nach Art. 6 Abs. 1 Buchstabe f DSGVO ist die Verarbeitung von Daten rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Nach dem Erforderlichkeitsgrundsatz muss also – wie so oft im Datenschutzrecht – eine Güterabwägung zwischen den unterschiedlichen Interessen erfolgen. Dabei steht auf der einen Seite das Interesse der Betreiberin, ihre KI optimal zu trainieren, und auf der anderen Seite das Allgemeine Persönlichkeitsrecht der NutzerInnen, deren Daten zu Trainingszwecken verwendet werden.
Während die Klägerin die Ansicht vertrat, das KI-Training verstoße gegen den Grundsatz der Erforderlichkeit, kam das Gericht zu dem Ergebnis, dass die Interessen oder Grundrechte der betroffenen NutzerInnen nicht überwiegen. Dabei prüfte das Gericht anhand folgender „Prüftrias“:
1) Zunächst muss ein berechtigtes Interesse der Betreiberin an der Verwendung der Daten bestehen,
2) sodann muss die Datenverarbeitung zur Verwirklichung dieses Interesses erforderlich sein und
3) zuletzt dürfen die Interessen und Grundrechte der betroffenen NutzerInnen gegenüber dem berechtigten Interesse der Betreiberin nicht überwiegen.
Zu 1) Das (rechtlich weit zu fassende) Interesse der Betreiberin am Training der von ihr entwickelten KI sah das OLG – unter Rückgriff auf vorangegangene Urteile und Stellungnahmen –bereits unter wirtschaftlichen Gesichtspunkten als gegeben an.
Zu 2) Die Datenverarbeitung durch die Betreiberin sei auch erforderlich, da (so auch ihre eidesstattliche Versicherung) keine andere sinnvolle Alternative und kein milderes Mittel zur Zielerreichung bestünde. Das Gericht folgte der Argumentation der Beklagten und erkannte an, dass ein großes generatives KI-Modell mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ trainiert werden müsse und durch das Training allein mit der deutlich geringen Menge sog. „Flywheel-Daten“ ein nur „minderwertiges Produkt“ entstehe.
Zu 3) Die Interessen der NutzerInnen am Schutz ihrer persönlichen Daten überwiegen nach Ansicht des Gerichts auch nicht gegenüber dem Interesse der Betreiberin am KI-Training. Die Eingriffsintensität in die Rechte der NutzerInnen bewertet das Gericht sowohl hinsichtlich der Folgen der Datenverarbeitung als auch hinsichtlich der von der Beklagten ergriffenen Maßnahmen zur Risikominderung als eher gering.
Das OLG argumentierte hier damit, dass es sich ausschließlich um Daten handele, die bereits zuvor von jedermann öffentlich einsehbar und auch mittels Suchmaschinen auffindbar waren. Aufgrund der bereits bestehenden Öffentlichkeit der Daten seien neue Nachteile, wie etwa soziale oder berufliche Konsequenzen, nicht zu befürchten. Zudem habe die Beklagte zahlreiche Maßnahmen zur De-Identifizierung der Datensätze sowie technische und organisatorische Maßnahmen ergriffen, um einen unberechtigten Zugriff auf die Trainingsdaten zu verhindern und es stünden den NutzerInnen effektive und umfangreiche Möglichkeiten offen, die Aufnahme ihrer Daten in den Trainingsdatensatz zu verhindern (z. B. nachträgliche Rücknahme des Status „öffentlich“ bei Postings und/oder des Kontos sowie Widerspruchsrecht).
b) Kein Verstoß gegen den DMA
Nach Art. 5 Abs. 2 UAbs. 1 b DMA darf ein sog. „Torwächter“ personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten „zusammenführen“. Schutzzweck der Norm ist es, das Ausnutzen von sog. „Verbundvorteilen“, die durch die gezielte Zusammenführung von Daten (etwa zur Erstellung von Nutzerprofilen) entstehen können, zu verhindern.
Dies hatte die Klägerin allerdings vorgetragen. Sie war der Ansicht, dass die Betreiberin personenbezogene Daten aus dem Plattformdienst Facebook mit personenbezogenen Daten aus dem Plattformdienst Instagram zur Entwicklung und Verbesserung ihrer KI gezielt zusammenführe. Das Gericht stellte fest, dass die Betreiberin zwar unstreitig ein „Torwächter“ i. S. d. Art. 5 Abs. 2 i. V. m. Abs. 1 Ziff. 1 DMA sei, in dieser Funktion liege jedoch kein „Zusammenführen“ von Daten im Rechtssinne. Dies begründete das Gericht damit, dass es an einer gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus einem anderen zentralen Plattformdienst fehle, wenn die Betreiberin teilweise de-identifizierte und zerlegte Daten in einen unstrukturierten Trainingsdatensatz für eine KI überführe.
Hierbei betonte das Gericht allerdings, dass es im Eilverfahren zu dieser wichtigen Rechtsfrage, nämlich wie der unbestimmte Rechtsbegriff des „Zusammenführens“ auszulegen sei, keine Gutachten oder Stellungnahmen einholen konnte und insbesondere auch keine Zeit hatte, die Frage dem EuGH vorzulegen. Nach dem oben Gesagten kann es also gut sein, dass die Entscheidung mit Blick auf eine Verletzung des DMA in der Hauptsache anders ausfällt.
3. Relevanz für den Datenschutz
Die Dichte obergerichtlicher Entscheidungen zum Thema KI nimmt zu. Diese Entwicklung wird sich mit der fortschreitenden Anwendung von KI in allen Lebensbereichen künftig weiter fortsetzen. Nun liegt mit dieser auch rechtspolitisch brisanten Entscheidung eine – vorläufige – Bewertung zentraler datenschutzrechtlicher Fragen zum Thema KI-Training vor. Berücksichtigt man noch, dass das Urteil einen ganz erheblichen Teil der deutschen Bevölkerung betrifft (die Antragsschrift spricht von ca. 40 Millionen Facebook- und ca. 31 Millionen Instagram-NutzerInnen in Deutschland), wird dessen Relevanz einmal mehr deutlich.
Auch wenn die Entscheidung nicht das letzte Wort zu allen aufgeworfenen Fragen sein mag, stellt sie doch wichtige Voraussetzungen auf, unter denen KI-Trainings mit öffentlich zugänglichen Daten – auch ohne ausdrückliche Einwilligung der NutzerInnen – datenschutzrechtlich zulässig sein können. Maßnahmen zur Risikominderung, wie bspw. die De-Identifizierung, das Einräumen einer Widerspruchsmöglichkeit (Opt-out) oder eine klar formulierte Zweckbindung sind hierbei essenziell.
Dass das extreme Spannungsfeld zwischen dem „Datenhunger“ des KI-Trainings einerseits und dem Grundsatz der Datenminimierung gem. DSGVO in Zukunft aufgelöst würde, ist nicht abzusehen. Die Entscheidung ist aber – trotz ihrer Vorläufigkeit – ein gutes Beispiel dafür, wie man beides rechtlich in einen schonenden Ausgleich bringen kann.
Fazit
Abschließend lässt sich festhalten: Die Entscheidung des OLG Köln verdeutlicht exemplarisch, wie fein austariert und sorgfältig die Abwägung datenschutzrechtlicher Interessen im Zeitalter generativer künstlicher Intelligenz vorgenommen werden muss. Sie setzt zugleich wichtige Leitplanken für Unternehmen und Plattformbetreiber, die ihre KI-Systeme mit öffentlich zugänglichen personenbezogenen Daten trainieren wollen. Auch wenn das letzte Wort in der Hauptsache noch aussteht und die Rechtslage weiterhin im Fluss ist, bietet das Urteil eine differenzierte und praxisnahe Blaupause für die Vereinbarkeit aktueller KI-Anwendungen mit den Anforderungen des europäischen Datenschutz- und Digitalmarktrechts. Es bleibt abzuwarten, ob und wie der Gesetzgeber oder höchstrichterliche Gerichte nachsteuern – der Balanceakt zwischen technologischem Fortschritt und individuellem Datenschutz wird die Rechtsprechung jedenfalls noch auf absehbare Zeit beschäftigen.
