Klarheit zu Artikel 9 DSGVO? – Die Kölner Sichtweise.
22.07.2025
Zusammenfassung
Das OLG Köln hat im Eilverfahren entschieden, dass Meta im Europäischen Wirtschaftsraum öffentlich geteilte Inhalte aus Facebook und Instagram zum KI-Training verarbeiten darf, auch wenn dabei sensible Daten berührt werden – solange diese offensichtlich vom Nutzer selbst öffentlich gemacht wurden. Das Urteil zeigt den Balanceakt zwischen Datenschutz und dem Ziel der EU, weltweit eine Führungsrolle bei vertrauenswürdiger KI-Entwicklung einzunehmen.
5 Minuten Lesezeit
Das OLG Köln entschied im Eilverfahren, ob Facebook und Instagram – also Meta-Tochterunternehmen – personenbezogene Daten aus sozialen Netzwerken zur Entwicklung und Verbesserung von KI nutzen dürfen. Der Antrag wurde zwar zurückgewiesen – aber der Reihe nach.
Worum geht es eigentlich?
Meta verfolgt seit längerem das Ziel, seine KI-Modelle mit öffentlich geteilten Inhalten von Erwachsenen auf Facebook und Instagram im Europäischen Wirtschaftsraum (EWR) zu trainieren. Dies betreffe insbesondere Profilbilder, Aktivitäten in öffentlichen Gruppen, auf Facebook-Seiten und Kanälen, Aktivitäten mit Inhalten, die öffentlich sind, wie Kommentare, Bewertungen, Rezensionen auf Marketplace oder auf einem öffentlichen Instagram eingestellte Avatare, Fotos, Videos und Audios samt dazugehöriger Metadaten, jeweils sofern als öffentlich geteilt. Nach anfänglichen Bedenken der für Meta zuständigen irischen Aufsichtsbehörde (DPC) wurde das Vorhaben zunächst pausiert. Inzwischen hat Meta zahlreiche Datenschutzmaßnahmen umgesetzt und ein neues Konzept vorgelegt – das etwa verbesserte Transparenz, Widerspruchsmöglichkeiten und technische Schutzvorkehrungen beinhaltet. Dieses wurde in Dublin nun nicht grundsätzlich abgelehnt, sondern wird nun beobachtet und bewertet.
Ist das in diesem Ausmaß erforderlich?
Das ist durchaus denkbar – zumindest nach dem Europäischen Gesetzgeber, den auch das Gericht zitiert (vgl. Rn. 73): „Die Entwicklung und das Training solcher Modelle erfordern den Zugang zu großen Mengen an Texten, Bildern, Videos und anderen Daten.“ (aus Erwägungsgrund 105 der KI-Verordnung)
Dies gilt keineswegs absolut. In besagtem Fall konnte jedoch Meta die Richter davon überzeugen, dass es „keine sinnvolle Alternative“ gäbe, „um seine Interessen ebenso wirksam mit anderen, milderen Mitteln zu verfolgen und zu erreichen“ (Rn. 72). Es sei deshalb „kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt.“ – Auch synthetische Daten stellten mangels Gleichwertigkeit keine mögliche Alternative dar (Rn. 73). Es wurde dabei von Seiten Meta erfolgreich glaubhaft gemacht, man erhalte ansonsten ein „minderwertiges Produkt“. All dem sei nun der Verfügungskläger „nicht substantiiert“ entgegengetreten (Rn. 73).
In Folge stellt das Gericht klar, dass davon ausgegangen werden könne, dass „Art. 6 Abs. 1 S. 1 lit. f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann“ (Rn. 73).
Aber was ist mit sensiblen Daten?
Unbestritten ist, dass derartiges Scraping von Nutzerdaten unweigerlich auch personenbezogene Daten besonderer Kategorien im Sinne des Art. 9 DSGVO berühren wird. (vgl. Rn. 108) Damit geht jedoch unweigerlich ein Problem einher: Grundsätzlich ist eine Verarbeitung von solchen sensiblen Daten verboten, soweit kein Erlaubnistatbestand vorliegt. „Berechtigtes Interesse“ – als vorliegende Rechtsgrundlage – rechtfertigt allerdings keine Verarbeitung im Bereich besonderer Kategorien von Daten (vgl. Art. 9 Abs. 2 DSGVO).
Außerdem sei wiederholt, dass der EuGH in verschiedener Rechtsprechung (wie EuGH vom 4. Juli 2023, C-252/51 Rn. 89) festgehalten hat, dass einzelne Gesundheitsdaten einen gesamten Datensatz „infizieren“ könnten und diesen zu Daten besonderer Kategorie erheben, um dem Schutzbedarf gerecht zu werden.
Diese Problematik weiß das Kölner Gericht aufzulösen: Entscheidend sei, „ob die betroffene Person die Absicht hatte, die fraglichen personenbezogenen Daten ausdrücklich und durch eine eindeutige bestätigende Handlung der breiten Öffentlichkeit zugänglich zu machen“ (Rn. 113 mit Verweis auf EuGH vom 4. Juli 2023, C-252/51 Rn. 77).
„Absatz 1 [das grundsätzliche Verarbeitungsverbot sensibler Daten] gilt nicht in folgenden Fällen: […] die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat“. (Art. 9 Abs. 2 lit. e DSGVO)
Lediglich bei selbst eingestellten Daten im Nutzerkonto bzw. in öffentlichen Postings sei dem durchschnittlichen Nutzer bekannt, „dass diese Daten von Jedermann zur Kenntnis genommen werden können“ (Rn. 114). In solchen Fällen könne ein Verzicht auf den Schutz des Art. 9 Abs. 1 DSGVO begründet werden, über den jeder Betroffene für sich selbst frei entscheiden könne (Rn. 115).
Die Richter des OLG Köln gehen aber noch weiter: Selbst Daten Dritter könnten nicht unter das Verarbeitungsverbot fallen, denn – vorbehaltlich einer endgültigen Klärung durch den Europäischen Gerichtshof – man gehe davon aus, dass der Schutz des Art. 9 DSGVO erst „aktiviert“ werden müsse (Rn. 116). Soweit der Zweck nämlich nicht gerade darin liege, sensible Informationen zu verarbeiten, sei es aus Kölner Sicht vorstellbar, dass das Verarbeitungsverbot nicht gelte, denn dieses sei eben nicht absolut. Ob dies auch auf Luxemburger Verständnis trifft, bleibt nun abzuwarten.
Fazit: Führungsrolle in der KI
Das OLG Köln eröffnet eine weitere Facette in der lebhaften und kontinuierlichen Diskussion rund um das sensible Datum nach Art. 9 DSGVO: Wie absolut ist der Schutz sensibler Daten in der Datenschutz-Grundverordnung tatsächlich zu sehen? – Das Urteil zeigt exemplarisch den Spannungsbogen zwischen Grundrechtsschutz und europäischem Innovationsstreben. Untermalt werden die Ausführungen nämlich durch Vorgaben aus Brüssel: Das hehre Ziel der Europäischen Union lautet „bei der Entwicklung einer sicheren, vertrauenswürdigen und ethisch vertretbaren KI weltweit eine Führungsrolle einzunehmen“ (Erwägungsgrund 8 der KI-Verordnung). Die Argumentation zusätzlich darauf zu stützen, ist durchaus spannend, denn es hinterfragt – zumindest mittelbar – ein altbekanntes Credo: Bleibt die Datenschutz-Grundverordnung, also der hohe und umfassende Schutz personenbezogener Daten, wirklich unberührt?
