OLG Köln, Urt. 23.5.2025 - 15 UKl 2/25
KI‑Training mit sozialem Netzwerk
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 08/2025
Aus: IT-Rechtsberater, Heft 08/2025
Das Verarbeitungsverbot gem. Art. 9 Abs. 1 DSGVO steht beim KI‑Training mit sensiblen Daten, die auf einem sozialen Netzwerk veröffentlicht werden, unter dem Vorbehalt eines Antrags der betroffenen Person auf Löschung der Daten aus veröffentlichtem Beitrag bzw. Trainingsdatensatz.
DMA Art. 5 Abs. 2; DSGVO Artt. 6 Abs. 1, 9
Keine Marktgefährdung:Nach Art. 5 Abs. 2 Unterabs. 1 lit. b DMA dürfe Meta personenbezogene Daten aus seinen zentralen Plattformdiensten nicht zusammenführen. Der nach Erwgrd. 36 des DMA bezweckte Schutz gegen Verbundvorteile aus beliebigen Nutzerdaten sei nicht normativ umgesetzt. Erforderlich sei eine gezielte plattformübergreifende Personalisierung mit Daten gerade derselben Personen, wofür die de-identifizierte und ungeordnete Einbringung nicht genüge. Nur so sei die Einwilligungsoption gem. Art. 5 Abs. 2 DMA zu erklären (Rz. 41–48).
Berechtigtes Interesse:Nach h.M. könne KI‑Training – hier zur Anpassung an regionale Gepflogenheiten – berechtigt i.S.d. Art. 6 Abs. 1 Satz 1 lit. f DSGVO sein. Trainings mit „riesigen [Daten-]Mengen“ würden in Erwgrd. 105 der KI‑VO (EU) 2024/1689 anerkannt. Anonymisierung scheide aus; Flywheel- oder synthetische Daten wären nicht gleich geeignet. Die Erforderlichkeit müsse nicht für Einzeldaten nachgewiesen werden, da diese keinen messbaren Einfluss auf die generierten Muster und Wahrscheinlichkeitsparameter hätten. Ein Verzicht auf personenbezogene Daten sei wegen De-Identifizierung nicht notwendig. Webscraping sei zur Regionalisierung weniger geeignet und infolge nicht greifender Abschwächungsmaßnahmen deutlich eingriffsintensiver (Rz. 54–73).
Schutzinteressen:Grundrechtseingriffe beim KI‑Betrieb könnten gesondert verfolgt werden. Aufgrund für jedermann ggf. mit Suchmaschinen auffindbarer, gegen Webscraping geschützter Daten (Nr. 3.2.3 der Meta-AGB) seien keine neuen Offenlegungsnachteile zu befürchten. Minderjährige seien mittelbar betroffen, wenn ihre Daten in Konten Volljähriger oder Institutionen enthalten seien. Das Risiko der „Erinnerung“ an Daten beim KI‑Betrieb sei wegen unabsehbarer Verwenderzahl, sehr umfangreicher Datenbestände Einzelner und Betroffenheit von 40 bzw. 31 Mio. Nutzern in Deutschland besonders bedeutend. Ferner sei eine spätere Löschung gem. Art. 17 DSGVO eingeschränkt (Rz. 75–80, 95).
Abschwächungsmaßnahmen und Selbstschutz:De-Identifizierung etwa bzgl. Brief-/E‑Mail-/IP-Adressen und die tokenisierte Zusammenstellung seien glaubhaft gemacht worden. Gemeinsam mit Maßnahmen bzgl. KI‑Betrieb und Datenzugriff werde das Risiko auch ohne Anonymisierung und Portraitentfernung insgesamt zweifelsfrei gemindert. Optionen zum vereinzelten Depublizieren oder generellen Widerspruch seien bzgl. enthaltener Daten von Dritt- oder Nichtnutzern wegen Abhängigkeit vom Handeln des Kontoinhabers begrenzt; institutionelle Konten unterlägen keinem Widerspruchsrecht. Dennoch sei insgesamt der Selbstschutz praktisch wirksam (Rz. 81–91).
Eigene Daten:Bei den abwägungserheblichen Betroffenenerwartungen (Erwgrd. 47 Satz 4 der DSGVO) komme es auf branchentypische, ggf. missbräuchliche Gepflogenheiten, wie etwa KI‑Training durch Webscraping, nicht an. Wegen der Erwartbarkeit ab 26.6.2024 überwögen die beachtlich beeinträchtigten Betroffeneninteressen nicht das wirtschaftliche Verarbeitungsinteresse, auch an Bildern. Für vorher veröffentlichte Daten bestünden Selbstschutzoptionen, so dass das infolge des Kernziels der EU‑Führungsrolle i.S.v. Erwgrd. 8 der KI‑VO sehr bedeutsame Verarbeitungsinteresse nicht überwogen werde. Die zwingende Notwendigkeit angesichts angestrebter Regionalisierung sei anzunehmen (Rz. 75, 93–100).
Fremddaten:Trotz fehlenden Selbstschutzes führten die Abschwächungsmaßnahmen mittelbar zu eher geringer Eingriffsintensität, so dass die sehr bedeutsamen, kernzielnahen Verarbeitungsinteressen selbst gegenüber Kindern überwögen. Das Training ziele i.d.R. nicht auf Identifizierung oder gar Profiling gem. Art. 4 Abs. 4 DSGVO. Die Gefahr einer Datenwiedergabe beim KI‑Betrieb sei eidesstattlich versichert gering und werde durch – nicht lückenlose – De-Identifizierung gemindert. Bei nur vereinzelten und nicht wiederholt trainierten Informationen sei ein Untergehen in der Datenmasse bzw. eine veränderte Ausgabe sehr wahrscheinlich. Als Ausgleich für die eingeschränkte Löschung könnten Daten durch Nichtberücksichtigung bei späteren Trainings verblassen (Rz. 101–104).
Sensible Fremddaten:Daten – auch von Nichtnutzern – seien unabhängig von ihrer Richtigkeit bereits dann als sensibel einzustufen, wenn aus ihnen mittels gedanklicher Kombination auf Datenarten des Art. 9 Abs. 1 DSGVO geschlossen werden könne oder sie mit sensiblen Daten vermischt würden. Offensichtliches Öffentlichmachen gem. Art. 9 Abs. 2 lit. e DSGVO scheide bei Fremddaten per se aus (Rz. 108–115).
Tätigkeitsgezogene teleologische Reduktion:Das Verarbeitungsverbot erfordere aber – wie bei Suchmaschinen (EuGH v. 24.9.2019 – C-136/17 Rz. 45 ff.) – einen Antrag des Drittbetroffenen auf Datenherausnahme. Angesichts Schutzmaßnahmen und mangelnder Strukturierung liege keine zielgerichtete Datenverarbeitung vor. Zwei aktuellere EuGH-Entscheidungen zur Unerheblichkeit einer Ziellosigkeit seien infolge Sachverhaltsunterschieden nicht übertragbar. Andernfalls wären o.g. EU‑Führungsrolle unerreichbar und freier Datenverkehr behindert (Art. 1 Abs. 1 DSGVO). Immerhin erlaube Art. 10 Abs. 5, Erwgrd. 70 der KI‑VO ab 2.8.2026 ein zielgerichtetes Training von Hochrisiko-KI. Wegen Verzichts auf eine Öffnungsklausel trotz Datenhungers i.S.v. Erwgrd. 105 der KI‑VO und Kenntnis vom gefährdenden Webscraping zum KI‑Training sowie angesichts geringer Schadensgefahren könne der Gesetzgeber ungeachtet eingeschränkter Löschungsmöglichkeit eine ungezielte Verarbeitung nicht für rechtswidrig gehalten haben. Somit bedürfe es – wie nach § 44b Abs. 3 UrhG – keines Opt-ins (Rz. 116–124).
DMA Art. 5 Abs. 2; DSGVO Artt. 6 Abs. 1, 9
Das Problem
Das für 26.6.2024 angekündigte KI‑Training mit Facebook und Instagram wurde nach Empfehlungen des EDSA um Widerspruchsrecht und De-Identifizierung ergänzt. So beschränkte sich die DPC auf Monitoring. Meta kündigte daraufhin an, ab 27.5.2025 die von volljährigen Nutzern veröffentlichten Daten (First-Party-Daten) sowie deren Interaktionen mit LLaMA (Flywheel-Daten) zu verwenden.Die Entscheidung des Gerichts
Der Eilantrag der Verbraucherzentrale NRW bzgl. First-Party-Daten werde abgewiesen.Keine Marktgefährdung:Nach Art. 5 Abs. 2 Unterabs. 1 lit. b DMA dürfe Meta personenbezogene Daten aus seinen zentralen Plattformdiensten nicht zusammenführen. Der nach Erwgrd. 36 des DMA bezweckte Schutz gegen Verbundvorteile aus beliebigen Nutzerdaten sei nicht normativ umgesetzt. Erforderlich sei eine gezielte plattformübergreifende Personalisierung mit Daten gerade derselben Personen, wofür die de-identifizierte und ungeordnete Einbringung nicht genüge. Nur so sei die Einwilligungsoption gem. Art. 5 Abs. 2 DMA zu erklären (Rz. 41–48).
Berechtigtes Interesse:Nach h.M. könne KI‑Training – hier zur Anpassung an regionale Gepflogenheiten – berechtigt i.S.d. Art. 6 Abs. 1 Satz 1 lit. f DSGVO sein. Trainings mit „riesigen [Daten-]Mengen“ würden in Erwgrd. 105 der KI‑VO (EU) 2024/1689 anerkannt. Anonymisierung scheide aus; Flywheel- oder synthetische Daten wären nicht gleich geeignet. Die Erforderlichkeit müsse nicht für Einzeldaten nachgewiesen werden, da diese keinen messbaren Einfluss auf die generierten Muster und Wahrscheinlichkeitsparameter hätten. Ein Verzicht auf personenbezogene Daten sei wegen De-Identifizierung nicht notwendig. Webscraping sei zur Regionalisierung weniger geeignet und infolge nicht greifender Abschwächungsmaßnahmen deutlich eingriffsintensiver (Rz. 54–73).
Schutzinteressen:Grundrechtseingriffe beim KI‑Betrieb könnten gesondert verfolgt werden. Aufgrund für jedermann ggf. mit Suchmaschinen auffindbarer, gegen Webscraping geschützter Daten (Nr. 3.2.3 der Meta-AGB) seien keine neuen Offenlegungsnachteile zu befürchten. Minderjährige seien mittelbar betroffen, wenn ihre Daten in Konten Volljähriger oder Institutionen enthalten seien. Das Risiko der „Erinnerung“ an Daten beim KI‑Betrieb sei wegen unabsehbarer Verwenderzahl, sehr umfangreicher Datenbestände Einzelner und Betroffenheit von 40 bzw. 31 Mio. Nutzern in Deutschland besonders bedeutend. Ferner sei eine spätere Löschung gem. Art. 17 DSGVO eingeschränkt (Rz. 75–80, 95).
Abschwächungsmaßnahmen und Selbstschutz:De-Identifizierung etwa bzgl. Brief-/E‑Mail-/IP-Adressen und die tokenisierte Zusammenstellung seien glaubhaft gemacht worden. Gemeinsam mit Maßnahmen bzgl. KI‑Betrieb und Datenzugriff werde das Risiko auch ohne Anonymisierung und Portraitentfernung insgesamt zweifelsfrei gemindert. Optionen zum vereinzelten Depublizieren oder generellen Widerspruch seien bzgl. enthaltener Daten von Dritt- oder Nichtnutzern wegen Abhängigkeit vom Handeln des Kontoinhabers begrenzt; institutionelle Konten unterlägen keinem Widerspruchsrecht. Dennoch sei insgesamt der Selbstschutz praktisch wirksam (Rz. 81–91).
Eigene Daten:Bei den abwägungserheblichen Betroffenenerwartungen (Erwgrd. 47 Satz 4 der DSGVO) komme es auf branchentypische, ggf. missbräuchliche Gepflogenheiten, wie etwa KI‑Training durch Webscraping, nicht an. Wegen der Erwartbarkeit ab 26.6.2024 überwögen die beachtlich beeinträchtigten Betroffeneninteressen nicht das wirtschaftliche Verarbeitungsinteresse, auch an Bildern. Für vorher veröffentlichte Daten bestünden Selbstschutzoptionen, so dass das infolge des Kernziels der EU‑Führungsrolle i.S.v. Erwgrd. 8 der KI‑VO sehr bedeutsame Verarbeitungsinteresse nicht überwogen werde. Die zwingende Notwendigkeit angesichts angestrebter Regionalisierung sei anzunehmen (Rz. 75, 93–100).
Fremddaten:Trotz fehlenden Selbstschutzes führten die Abschwächungsmaßnahmen mittelbar zu eher geringer Eingriffsintensität, so dass die sehr bedeutsamen, kernzielnahen Verarbeitungsinteressen selbst gegenüber Kindern überwögen. Das Training ziele i.d.R. nicht auf Identifizierung oder gar Profiling gem. Art. 4 Abs. 4 DSGVO. Die Gefahr einer Datenwiedergabe beim KI‑Betrieb sei eidesstattlich versichert gering und werde durch – nicht lückenlose – De-Identifizierung gemindert. Bei nur vereinzelten und nicht wiederholt trainierten Informationen sei ein Untergehen in der Datenmasse bzw. eine veränderte Ausgabe sehr wahrscheinlich. Als Ausgleich für die eingeschränkte Löschung könnten Daten durch Nichtberücksichtigung bei späteren Trainings verblassen (Rz. 101–104).
Sensible Fremddaten:Daten – auch von Nichtnutzern – seien unabhängig von ihrer Richtigkeit bereits dann als sensibel einzustufen, wenn aus ihnen mittels gedanklicher Kombination auf Datenarten des Art. 9 Abs. 1 DSGVO geschlossen werden könne oder sie mit sensiblen Daten vermischt würden. Offensichtliches Öffentlichmachen gem. Art. 9 Abs. 2 lit. e DSGVO scheide bei Fremddaten per se aus (Rz. 108–115).
Tätigkeitsgezogene teleologische Reduktion:Das Verarbeitungsverbot erfordere aber – wie bei Suchmaschinen (EuGH v. 24.9.2019 – C-136/17 Rz. 45 ff.) – einen Antrag des Drittbetroffenen auf Datenherausnahme. Angesichts Schutzmaßnahmen und mangelnder Strukturierung liege keine zielgerichtete Datenverarbeitung vor. Zwei aktuellere EuGH-Entscheidungen zur Unerheblichkeit einer Ziellosigkeit seien infolge Sachverhaltsunterschieden nicht übertragbar. Andernfalls wären o.g. EU‑Führungsrolle unerreichbar und freier Datenverkehr behindert (Art. 1 Abs. 1 DSGVO). Immerhin erlaube Art. 10 Abs. 5, Erwgrd. 70 der KI‑VO ab 2.8.2026 ein zielgerichtetes Training von Hochrisiko-KI. Wegen Verzichts auf eine Öffnungsklausel trotz Datenhungers i.S.v. Erwgrd. 105 der KI‑VO und Kenntnis vom gefährdenden Webscraping zum KI‑Training sowie angesichts geringer Schadensgefahren könne der Gesetzgeber ungeachtet eingeschränkter Löschungsmöglichkeit eine ungezielte Verarbeitung nicht für rechtswidrig gehalten haben. Somit bedürfe es – wie nach § 44b Abs. 3 UrhG – keines Opt-ins (Rz. 116–124).