Meta und das OLG Köln: Ein datenschutzrechtlicher Dammbruch? Am 23. Mai 2025 hat das Oberlandesgericht Köln im einstweiligen Rechtsschutz entschieden (AZ: 15 UKl 2/25 – Volltext der Entscheidung steht noch aus; danke an die Kollegen von TaylorWessing für den Bericht aus der Verhandlung), dass Meta – also der Betreiber von Facebook, Instagram und Whatsapp – vorerst Nutzerdaten aus öffentlich gestellten Profilen für das Training von KI-Modellen verwenden darf.
Der Antrag der Verbraucherzentrale NRW auf Erlass einer einstweiligen Verfügung wurde zurückgewiesen. Diese Entscheidung fügt sich ein in eine Serie datenschutzrechtlicher Grenzverschiebungen, die im Lichte der technologischen Dynamik, aber auch der politischen und wirtschaftlichen Kräfteverhältnisse zu bewerten sind.
KI-Training mit Nutzerdaten
Juristisch stellt sich die Entscheidung des 15. Zivilsenats als eine vorläufige Billigung der von Meta gewählten Datenverarbeitungsstrategie dar. Gestützt wird dies auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, also dem “berechtigten Interesse” des Verantwortlichen – hier konkret dem Interesse von Meta, große Mengen öffentlich zugänglicher Nutzerdaten für die Entwicklung und Verbesserung KI-gestützter Systeme zu nutzen. Das Gericht ließ sich dabei wesentlich von der Argumentation leiten, dass diese Daten auch von Suchmaschinen auffindbar seien und die betroffenen Nutzer durch einen Opt-out-Widerspruch die weitere Verarbeitung unterbinden könnten.
Diese juristische Begründung mag auf den ersten Blick stringent erscheinen. Bei näherer Betrachtung offenbaren sich jedoch tiefgreifende Bedenken. Zum einen ist fraglich, ob Nutzer, die ihre Beiträge öffentlich teilten – sei es bei Facebook oder Instagram – jemals damit rechnen mussten, dass diese Inhalte zu Trainingsdaten für generative KI-Modelle transformiert werden. Gerade die Entscheidung, Inhalte einem sozialen Netzwerk anzuvertrauen, fußt in der Regel auf einer Vorstellung von kontrollierter Sichtbarkeit innerhalb eines digitalen Ökosystems, nicht auf der Vorstellung, dass dieselben Inhalte maschinell analysiert, dekontextualisiert und rekombiniert werden, um KI-Systeme zu trainieren, die autonom agieren und kaum kontrollierbar sind.
Plattformen in der Kritik
Hinzu kommt, dass der Schritt Metas in einer Zeit erfolgt, in der das Vertrauen in den datenschutzkonformen Umgang durch große Plattformanbieter ohnehin schwer erschüttert ist. Der Hamburger Datenschutzbeauftragte hat zurecht darauf hingewiesen, dass die De-Identifikation von Daten, also etwa das Entfernen von Namen, nicht notwendigerweise ausreicht, um die Verarbeitung rechtlich unproblematisch zu machen. Denn selbst in anonymisierten oder pseudonymisierten Datensätzen können sich durch technische Rückrechnungen oder Modell-Inferenzen indirekte Personenbezüge ergeben, die rechtlich relevant sind. Die Annahme, dass es sich um nicht-personenbezogene Daten handelt, wird zunehmend fragwürdig – insbesondere bei datengetriebenen KI-Systemen, wie sie Meta einzusetzen beabsichtigt.
In der datenschutzrechtlichen Fachliteratur ist unbestritten, dass selbst Wahrscheinlichkeitsaussagen und Vermutungen – sofern sie auf identifizierbare Personen zurückgeführt werden können – unter den Anwendungsbereich der DSGVO fallen. Golland weist darauf hin, dass sowohl Eingabe- als auch Ausgabedaten eines KI-Systems personenbezogen sein können. Die Tatsache, dass Meta sich auf Art. 6 Abs. 1 lit. f DSGVO stützt und nicht auf eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, ist dabei nicht nur eine juristische Frage der Rechtsgrundlage, sondern eine politische Entscheidung mit großer Tragweite: Während Einwilligungen den Betroffenen eine echte Kontrolle über ihre Daten ermöglichen, begünstigt das Konstrukt des „berechtigten Interesses“ regelmäßig strukturell überlegene Akteure – hier den US-amerikanischen Tech-Konzern Meta.
Entscheidung im Zwielicht
Dabei offenbart sich ein weiteres strukturelles Problem: Die Entscheidung des OLG Köln steht in einem faktischen Spannungsverhältnis zur Rolle Metas als „Gatekeeper“ im Sinne des Digital Markets Act (DMA). Zwar verneinte das Gericht eine unzulässige Datenzusammenführung im Sinne des DMA, weil Meta keine Nutzerdaten über verschiedene Plattformen hinweg individuell kombiniere. Doch diese Einschätzung blendet aus, dass bereits die Möglichkeit zur Querverknüpfung zwischen den verschiedenen Plattformdiensten – selbst wenn sie nur potenziell besteht – eine bedeutende datenschutzrechtliche und marktwirtschaftliche Gefahr darstellt. Gerade bei Meta, das ein breites Spektrum an Kommunikationsplattformen betreibt, liegt die Gefahr einer tiefgreifenden Profilbildung nahe. Es ist nicht die aktuelle technische Verknüpfung, die problematisch ist, sondern die strukturelle Möglichkeit zur umfassenden semantischen Analyse nutzergenerierter Inhalte über verschiedene Plattformen hinweg – etwa wenn dieselbe Person auf Instagram Fotos postet, bei Facebook Kommentare schreibt und per Whatsapp kommuniziert.
In der datenschutzrechtlichen Systematik betont insbesondere die Literatur zur Erklärbarkeit und Nachvollziehbarkeit von KI-Prozessen (etwa Voudoulaki und Puschky), dass die Betroffenenrechte aus der DSGVO – namentlich das Auskunftsrecht nach Art. 15 DSGVO und das Recht auf Löschung nach Art. 17 DSGVO – durch die zunehmende Automatisierung und Komplexität datenverarbeitender Systeme gefährdet sind. KI-Systeme wie die von Meta geplanten bergen genau diese Risiken. Die Entscheidung aus Köln blendet diese Entwicklung weitgehend aus und fokussiert sich auf die formale Frage, ob eine Opt-out-Option ausreichend sei. Damit wird die tatsächliche Kontrolle der Betroffenen über ihre Daten dem Schutz kommerzieller Interessen geopfert.
Fragwürdiges Signal
Im Ergebnis ist festzuhalten, dass diese Entscheidung ein gefährliches Signal sendet – nicht nur an Meta, sondern an die gesamte Plattformökonomie. Der Eindruck, dass globale Tech-Konzerne sich datenschutzrechtliche Legitimation durch strukturelle Übermacht und technische Unausweichlichkeit „erkaufen“ können, wird hierdurch nicht entkräftet, sondern verstärkt. Dass das Gericht dabei vor allem auf die Einschätzung der irischen Datenschutzbehörde rekurriert – die für Meta zuständig ist und sich durch eine zurückhaltende Aufsichtspraxis hervortut – verstärkt den Eindruck einer asymmetrischen Rechtsdurchsetzung innerhalb der EU.
Gerade die deutsche Rechtsprechung, die sich in der Vergangenheit durch ein hohes Maß an Grundrechtsdogmatik und Sensibilität gegenüber informationeller Selbstbestimmung ausgezeichnet hat, sollte sich davor hüten, ihre Maßstäbe abzusenken, wenn es um globale Player geht – wobei ich seit Jahren kritisiere, dass deutsche Gerichte einen fatalen Hang zur Privilegierung von Google & Co. aufweisen, was unsere Gesellschaft im Ergebnis zunehmend vergiftet.
Der Zugriff auf öffentlich sichtbare Daten rechtfertigt nicht deren schrankenlose Verwertung für kommerzielle Zwecke – schon gar nicht für das Training von KI-Systemen, die in ihrer Reichweite und Wirkung weit über den ursprünglichen Kommunikationskontext hinausgehen.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
- Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden - 20. Juni 2025
- Strafzumessung bei Änderung des gesetzlichen Strafrahmens - 20. Juni 2025
- Fahrlässige Verletzung der Instandhaltungspflichten bei gefördertem Wohnraum - 20. Juni 2025