Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA
OLG Köln
Urteil vom 23.05.2025
15 UKl 2/25
Wir hatten bereits in dem Beitrag OLG Köln: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA über die Entscheidung berichtet.
Aus den Entscheidungsgründen:
Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.
a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.
aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.
bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).
Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.
Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).
Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.
Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.
b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.
aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).
Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).
bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).
cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.
aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).
bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.
Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.
ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.
(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).
(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).
Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.
Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.
(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).
Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).
ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.
Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).
Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).
Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.
Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es
„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“
als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.
"Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA" vollständig lesen
Urteil vom 23.05.2025
15 UKl 2/25
Wir hatten bereits in dem Beitrag OLG Köln: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA über die Entscheidung berichtet.
Aus den Entscheidungsgründen:
Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.
a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.
aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.
bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).
Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.
Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).
Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.
Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:
Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.
Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.
b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.
aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).
Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).
bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).
cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.
aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).
bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.
Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.
Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.
ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.
(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).
(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).
Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.
Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.
(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).
Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).
ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.
Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).
Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).
Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).
Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.
Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.
Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es
„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“
als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.
"Volltext OLG Köln liegt vor: Meta darf Daten aus öffentlichen Profilen bei Facebook und Instagram für das KI-Training verwenden - kein Verstoß gegen DSGVO und DMA" vollständig lesen