Meta darf Nutzerdaten zum Trainieren von KI verwenden: Was das deutsche Urteil besagt

Die Begründung für das Urteil des Oberlandesgerichts Köln vom 23. Mai 2025, das Meta das Recht zusprach, von seinen Kunden bereitgestellte öffentliche Inhalte zum Trainieren von KI-Modellen zu verwenden, ist nun endlich öffentlich. Damit wurde das Argument der großen Technologieunternehmen akzeptiert, dass es „keine vernünftige Alternative gibt, mit der Meta seine Interessen ebenso effektiv wie mit anderen, weniger invasiven Mitteln erreichen kann.“

Der Ursprung der Kontroverse

Das Urteil erging im Anschluss an eine Klage eines deutschen Verbraucherverbands, der sich über die durch Metas Entscheidung verursachte Verletzung des Rechts auf Schutz der personenbezogenen Daten der Kunden beschwerte.

Konkret warf der Verband Meta vor, nicht nachgewiesen zu haben, dass die Nutzung der Daten seiner Kunden zum Trainieren einer KI im Sinne der Datenschutz-Grundverordnung (DSGVO) notwendig und angemessen sei. Zudem sei diese Tätigkeit verboten, weil dabei auch „besondere“ personenbezogene Daten – etwa Gesundheitsdaten – verarbeitet würden, ohne dass sich Meta auf eine der in der DSGVO vorgesehenen Ausnahmen berufen könne.

Meta verteidigte sich mit der Behauptung, dass das Unternehmen ein „berechtigtes Interesse“ an der Nutzung öffentlicher, mit der DSGVO vereinbarer Inhalte auf seinen Plattformen habe und dass es eine Reihe von Maßnahmen ergriffen habe, die die Risiken für die Rechte des Einzelnen auf ein akzeptables Maß reduziert hätten.

Im Einzelnen erklärte Meta in dem Urteil, dass es die Verwendung von Daten auf die von Kunden öffentlich gemachten Daten beschränkt habe, dass es die Möglichkeit vorgesehen habe, den Status der Inhalte von öffentlich auf privat zu ändern und sie somit von der Verwendung auszuschließen, dass es die Kunden informiert und ihnen eine wirksame Möglichkeit gegeben habe, der Verarbeitung zu widersprechen, dass es die Informationen über einzelne Personen anonymisiert habe, dass es sie „tokenisiert“ (d. h. sie auf mathematische Werte reduziert habe, die erforderlich sind, damit das Modell die Berechnungsoperationen durchführen kann) und sie daher von der persönlichen Identität der Personen entkoppelt habe und dass es während des gesamten Entwicklungszyklus des Modells Sicherheitsmaßnahmen ergriffen habe.

Mit seinem Urteil zugunsten von Meta hat das deutsche Gericht eine Reihe von Grundsätzen schwarz auf weiß formuliert, die die weit verbreitete – auch in Italien – Auslegung der Gesetzgebung zum Schutz personenbezogener Daten stark einschränken, indem sie eine Reihe von Grundsätzen bekräftigen, die auch außerhalb von KI-bezogenen Fragen Gültigkeit haben.

Die DSGVO schützt auch wirtschaftliche Interessen und nicht nur die Rechte des Einzelnen

„Neben rechtlichen und ideologischen Interessen gelten auch wirtschaftliche Interessen als berechtigte Interessen“, schreibt das Gericht und erinnert an ein Urteil des Gerichtshofs der Europäischen Union , der die Relevanz des kommerziellen Interesses eines Sportverbandes an der Weitergabe der Daten seiner Athleten anerkannt hatte.

Darüber hinaus heißt es in dem Urteil weiter: „Eine Anonymisierung solcher Datensätze ist nicht praktikabel, da es oft schwierig ist, die Einwilligung der Betroffenen mit vertretbarem Aufwand einzuholen. Diese Auslegung spiegelt auch die Dualität der Schutzzwecke der DSGVO wider, die nicht nur dem Schutz personenbezogener Daten dient, sondern auch den freien Verkehr dieser Daten und damit ihre Nutzbarkeit gewährleistet.“

Auch wenn dies in der Verordnung zum Schutz personenbezogener Daten verankert ist und es nicht notwendig gewesen wäre, dies zu erwähnen, stellt das Urteil klar, dass die Interessen von Unternehmen den gleichen Stellenwert haben wie die Rechte von Einzelpersonen. Anders ausgedrückt: Es gibt keinen Grundsatz, der die Verwendung personenbezogener Daten im Rahmen wirtschaftlicher Tätigkeiten verhindert. Entscheidend sei, so der Gerichtshof, dass diese Verwendung tatsächlich notwendig und unerlässlich sei, um ein rechtmäßiges Ergebnis zu erzielen, auch wenn sie nicht ausdrücklich gesetzlich vorgesehen sei .

Um die Tragweite dieses Grundsatzes zu verstehen, muss man nur an die Probleme im Zusammenhang mit der Speicherung von Internetverkehrsdaten und E-Mail-Metadaten, mit der Nutzung von Analysefunktionen oder mit dem „Pay or Okay“-Modell – oder besser gesagt: „Mit Geld bezahlen oder mit Daten bezahlen“ – denken . Angesichts dieses Urteils sind diese Aktivitäten zwar nicht per se rechtswidrig, aber das Verhältnis zwischen dem dem Kunden konkret auferlegten „Opfer“ und den Zielen des Anbieters muss im Einzelfall geprüft werden. Sofern die Risiken für die Grundrechte und -freiheiten der betroffenen Person in der Praxis ausreichend begrenzt sind, kann ein Unternehmen nicht daran gehindert werden, die entsprechenden personenbezogenen Daten zu verarbeiten.

Zu berücksichtigen sind nur die Risiken, die direkt mit der Funktionsweise des Modells verbunden sind.

Ein weiteres Grundprinzip für die Entwicklung von KI in der Europäischen Union besteht darin, dass bei der Bewertung der Folgen der Verarbeitung personenbezogener Daten nur diejenigen berücksichtigt werden sollten, die mit dem Training der KI selbst zusammenhängen.

Die Richter schreiben hierzu: „Andere mögliche Rechtsverstöße, die sich aus der späteren Funktionsweise der KI ergeben könnten (wie etwa Desinformation, Manipulationen, sonstige schädliche Praktiken), sind derzeit nicht hinreichend vorhersehbar und können gesondert verfolgt werden. Die Möglichkeit, dass sich solche Risiken in einem solchen Ausmaß materialisieren, dass sie den legitimen Einsatz der KI unmöglich machen und letztlich die Angemessenheit der Datenverarbeitung in Frage stellen, ist jedenfalls gering.“

Die Richter bekräftigen mit äußerster Klarheit den Grundsatz, dass bei der Beurteilung, ob personenbezogene Daten zum Trainieren einer KI verwendet werden dürfen oder nicht, nur die unmittelbaren Folgen der Verwendung der betreffenden Daten berücksichtigt werden müssen und nicht die Tatsache, dass jemand das Modell in Zukunft für illegale Handlungen nutzen könnte . In diesem Fall, so das Gericht, gelten andere bestehende Regeln, da das KI-Modell das Instrument ist, mit dem gegen Gesetze verstoßen wird, und nicht der Urheber des Verstoßes.

Vollständige Anonymisierung ist nicht notwendig

Ein weiterer Streitpunkt zwischen den Parteien war die De-Identifizierung durch die Löschung personenbezogener Daten, jedoch die Dauerhaftigkeit der Fotos.

Meta hielt es für ausreichend, Daten wie vollständige Namen, E-Mail-Adressen, Telefonnummern, nationale Identifikationsnummern, Benutzerkennungen, Kredit-/Debitkartennummern, Bankkontonummern/Bankleitzahlen, Nummernschilder, IP-Adressen und Postanschriften zu eliminieren und in eine unstrukturierte und „tokenisierte“ Form zu überführen. Hierzu heißt es: „Dies schließt zwar nicht aus, dass trotz De-Identifizierung in Einzelfällen immer noch eine Identifizierung erfolgen kann, das Gericht ist jedoch der Ansicht, dass diese Maßnahmen das Risiko insgesamt verringern werden.“

Das Trainieren einer KI ist keine auf eine bestimmte Person ausgerichtete Behandlung

Auch hier ist es angebracht, das Urteil wörtlich zu zitieren: „Bei der Entwicklung großer Sprachmodelle auf der Grundlage sehr großer Datensätze geht es in der Regel nicht um die gezielte Verarbeitung personenbezogener Daten oder die Identifizierung einer bestimmten Person.“ Und wiederum: „Die Voraussetzungen, die eine nicht zielgerichtete Verarbeitung ermöglichen, sind durch den Zweck des KI-Trainings, das auf die Erstellung allgemeiner Modelle zur Berechnung von Wahrscheinlichkeiten und nicht auf die Profilerstellung einzelner Personen abzielt, sowie durch die zahlreichen von den Beklagten getroffenen Schutzmaßnahmen ausreichend erfüllt.“

Dies ist eine zentrale Passage des Urteils, da sie einen weiteren Aspekt wiederholt, der bei der (italienischen) Anwendung der DSGVO praktisch nie berücksichtigt wurde: Die Verordnung gilt für Verarbeitungen, die eine bestimmte Person und nicht Kategorien oder Gruppen identifizieren oder identifizierbar machen. Da die Tokenisierung der Inhalte der in den sozialen Netzwerken von Meta verbreiteten Beiträge durch eine ausreichende Anonymisierung der Personen erreicht wurde, verstößt die Verarbeitung der so gewonnenen Daten nicht gegen das Gesetz.

Auch hier reichen die praktischen Konsequenzen des Rechtsprinzips über den Anwendungsbereich der KI hinaus, weil sie etwa die These widerlegen, dass sämtliche Profiling-Aktivitäten, die etwa mithilfe von Trackern, IP-Nummern oder anderen Mitteln durchgeführt werden, die Geräte oder Software identifizieren, nicht aber, wer sie nutzt, systematisch gegen das Gesetz verstoßen.

Eine Botschaft an die Europäische Kommission und die nationalen Datenschutzbehörden

Wie bereits mehrfach wiederholt, erhält dieser Prozess einen allgemeineren Wert, der über die Metafrage hinausgeht, da es dabei um die Beziehung zwischen den ideologischen Voraussetzungen der Standardisierung und den industriellen Folgen der technologischen Entwicklung geht.

Es ist ganz offensichtlich, dass die DSGVO im Laufe von fast zehn Jahren im Namen einer Fetischisierung der „Privatsphäre“ (ein Begriff, der in der europäischen Verordnung ebenfalls fehlt) einseitig zum Nachteil der legitimen Interessen derjenigen ausgelegt wurde, die Innovationen vorantreiben.

Daher haben die nationalen Datenschutzbehörden Soft-Law -Bestimmungen und -Maßnahmen erlassen, die nicht ausreichend berücksichtigt haben, was die Verordnung bereits seit ihrer Verkündung vorsah: Solange man sich im Rahmen des Gesetzes bewegt, gibt es keine absoluten Verbote für die Verarbeitung personenbezogener Daten, sondern eine Interessenabwägung, und die Interessenabwägung muss im Einzelfall überprüft werden.

Die DSGVO ist sicherlich nicht perfekt und müsste von Grund auf grundlegend überarbeitet werden. Dieses Urteil zeigt jedoch, dass sie vernünftig ausgelegt werden kann und dabei auch die Vorschriften zum Schutz von Forschung und Wirtschaft berücksichtigt werden.

Um es klar zu sagen: Es geht hier nicht darum, „freie Hand“ für die großen Technologiekonzerne oder Unternehmen im Allgemeinen zu fordern und damit den Menschen auf dem Altar des Profits zu opfern. Aber das Gegenteil ist auch nicht möglich, im Namen einer nie geklärten Unklarheit über die Rolle, die Informationstechnologien bei der Umgestaltung unserer Gesellschaft spielen können und müssen.

Dies ist der Punkt, den die Europäische Kommission bei der Verabschiedung der operativen Rechtsakte der KI-Verordnung und bei der Festlegung der Änderungen der DSGVO berücksichtigen sollte, die nun endgültig diskutiert werden.