Aufsatz : Die „Meta-KI-Entscheidung“ des OLG Köln – Ein Urteil und fünf Meinungen : aus der RDV 5/2025, Seite 221 bis 228

Die Anwendbarkeit von Art. 9 Abs. 1 DS‑GVO und die daraus resultierenden Verpflichtungen sind demnach nicht pauschal zu bestimmen. Vielmehr sind sie anhand des Umfangs der Verantwortlichkeit zu ermitteln: Ein Suchmaschinenbetreiber zeichnet sich nicht für das Vorhandensein besonderer Kategorien personenbezogener Daten auf einzelnen Websites verantwortlich, wohl aber für deren Listung.[⁶] Aus einer Bestimmung der Verantwortungsbereiche, der Befugnisse und der Möglichkeiten ergibt sich daher, dass der Websitebetreiber initial dafür zu sorgen hat, dass die Voraussetzungen des Art. 9 Abs. 2 DS‑GVO eingehalten sind. Der Suchmaschinenbetreiber muss hingegen erst nach Antrag der betroffenen Person tätig werden und die Vereinbarkeit der Verarbeitung mit Art. 9 Abs. 1 und 2 DS‑GVO prüfen.^[7]

Übertragen auf die hiesige Konstellation bedeutet das: Initial verantwortlich für das Vorhandensein der besonderen Kategorien personenbezogener Daten auf den öffentlichen Nutzerprofilen ist der jeweilige Nutzer, der das Bild gepostet hat. In den Verantwortungsbereich Metas fällt sodann die Übernahme dieser Daten in den Trainingsdatensatz des KIModells. Wie auch bei einem Suchmaschinenbetreiber können die Vorgaben des Art. 9 Abs. 1 DS‑GVO für den Modell-Entwickler nicht gelten, als wenn er die sensiblen Nutzerdaten selbst sichtbar gemacht hätte: „Logischerweise erfolgt die Tätigkeit […] erst nach dem Einstellen (sensibler) Daten und hat sekundären Charakter.“^[8] Daher kann auch Meta in Anbetracht des Verantwortungsbereichs, der Befugnisse und der Möglichkeiten nur auf Grund der Übernahme „und somit über eine Prüfung anwendbar sein, die auf der Grundlage eines Antrags der betroffenen Person unter der Aufsicht der zuständigen nationalen Behörden vorzunehmen ist.“^[9]

Auf dieser Grundlage verliert auch der grundsätzlich berechtigte Einwand einer fraglichen Umsetzbarkeit späterer Löschungsanträge seine Geltung für die streitgegenständliche Frage.^[10] Ob Meta seine geltenden Verpflichtungen im Rahmen von Art. 9 Abs. 1 und 2 DS‑GVO umsetzen kann und tatsächlich umsetzt, hat für die Bestimmung ihres originären Umfangs keine Bedeutung. Das Urteil des OLG Köln zieht keine Analogie zur Rechtsprechung des EuGH zu den Verantwortlichkeiten der Suchmaschinenbetreiber, sondern wendet diese vertretbar auf die Entwicklung von KI-Modellen an. Zuzugeben ist zwar, dass ein Risiko besteht, dass entsprechende Anträge praktisch nicht durch die Löschung einzelner Datenpunkte aus dem Modell umgesetzt werden können. Jedoch: Das ist ein Risiko, das in den Verantwortungsbereich Metas fällt und das die Richter des OLG Köln dem Konzern zurecht nicht abnehmen.

Angesichts der grundlegenden Bedeutung des Verfahrens und der dogmatischen Brücken, die das OLG Köln baut, wäre eine Vorlage an den EuGH im Hauptsacheverfahren sicherlich im Interesse aller Beteiligten, zumal das OLG Schleswig zwischenzeitlich in einem Beschluss eine andere Auffassung angedeutet hat.^[11] Der Senat des OLG Köln lässt jedenfalls deutlich erkennen, dass er einem solchen Schritt offen gegenübersteht. Sollte es zum Hauptsacheverfahren kommen, wäre dafür wegen einer Änderung der Zuständigkeiten in der nordrheinwestfälischen Justiz^[12] allerdings das OLG Hamm zuständig. Das Urteil des OLG Köln vom 23.05.2025 überrascht, denn in Zeiten, zu denen Meta der Wind ansonsten hart ins Gesicht bläst, geht das OLG sehr verständnisvoll mit dem Mega-Konzern um. Dass die Verbraucherschützer mit ihrem Ziel, im einstweiligen Rechtsschutzverfahren nach dem UKlaG eine Untersagung gegen Facebook und Instagram zu erwirken, dort veröffentlichte personenbezogene Daten zur Entwicklung und Verbesserung von Systemen künstlicher Intelligenz (im Folgenden KI) zu verarbeiten, scheiterten, hat allerdings gute Gründe:

Meta hatte seine KI-Trainingsvorhaben schon frühzeitig angekündigt (mit Pressemitteilung vom 14. April 2025), hatte sensible Nutzergruppen (Minderjährige) bereits selbst ausgeklammert, sein Verarbeitungsanliegen auf von den Nutzern selbst öffentlich eingestellte Daten (sog. First Party Data) beschränkt und zudem großzügige Widerspruchsmöglichkeiten eingeräumt, die deutlich über die Anforderungen der DS‑GVO hinausgingen. Zwar stützte Meta das Training nicht auf eine Einwilligung der Nutzer, das musste der Konzern (anders als die Verbraucherschützer meinten) aber auch nicht, da ihm mit Art. 6 Abs. 1 lit. f) DS‑GVO (überwiegendes berechtigtes Interesse) eine vollwertige und – anders als der EuGH zu meinen scheint – keineswegs zweitrangige Verarbeitungsgrundlage zur Verfügung stand. Das hierzu bestehende Widerspruchsrecht des Art. 21 DS‑GVO weitete Meta deutlich zugunsten der Nutzer aus, da es gerade keine Darlegung einer Sondersituation der Widersprechenden verlangte (vgl. Art.  21 Abs.  1 S. 1 DS‑GVO), sondern jeden Widerspruch gegen die Nutzung als Trainingsdaten genügen ließ.

OLG Köln macht sich für KI stark

Zudem profitierte Meta von der prozessualen Besonderheit einstweiliger Verfügungen nach dem Unterlassungsklagengesetz und konnte den maßgeblichen Sachverhalt im summarischen Verfahren durch eigene Erklärungen wesentlich mitgestalten – das kann in einem Hauptsacheverfahren naturgemäß wieder ganz anders aussehen.

Wie ordnete das OLG Köln nun die Nutzung der als öffentlich geteilten Profilbilder, Aktivitäten in öffentlichen Gruppen, öffentlichen Kommentare, Bewertungen, Rezensionen, Fotos, Videos und Audios samt dazugehöriger Metadaten datenschutzrechtlich ein? Mit einem Wort: großzügig. Mit einer bei deutschen Gerichten nur selten anzutreffenden Offenheit gegenüber modernen Technologien wie der Künstlichen Intelligenz machte das OLG den Weg für Meta frei: So sei der Zweck der Verarbeitungen „klar bestimmt“ – eine Bewertung, die angesichts der systembedingten Intransparenzen von KI durchaus anders hätte ausfallen können. Und anders als der EuGH will das OLG offenbar mögliche Verfahrensmängel bei der Datennutzung für KI-Zwecke (also unterbliebene Information der Betroffenen nach Art. 13 DS‑GVO oder eine fehlende Datenschutz-Folgenabschätzung nach Art.  35 DS‑GVO) nicht auf den Abwägungsprozess des Art.  6 Abs.  1 lit.  f) DS‑GVO durchschlagen lassen. Naheliegende Alternativverfahren (Trainings mittels anonymisierter oder sog. synthetischer Daten) blendete das OLG ebenfalls aus, jedenfalls „im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat … keine hinreichend verlässlichen Alternativen“. Auch ansonsten hält das OLG seinen Blickwinkel bewusst begrenzt, als abwägungsrelevant wurde „allein das Training der KI mit personenbezogenen Daten und dessen Folgen“ betrachtet, mögliche Rechtsverletzungen durch die spätere „Arbeit“ der KI (etwa Desinformation, Manipulationen, sonstige schädliche Praktiken), seien „derzeit nicht hinreichend absehbar“ und könnten ja gesondert verfolgt werden.

Wirklich überzeugend sind die Ausführungen des OLG Köln zur Interessenabwägung nicht: Soweit es an die bereits bestehende Öffentlichkeit der genutzten Daten anknüpft und meint, „neue Nachteile durch eine Offenlegung der Daten, wie etwa soziale oder berufliche Konsequenzen, (seien) regelmäßig nicht zu befürchten“, bleibt das spekulativ. Welche Spuren die eigenen Daten im KI-Modell hinterlässt, weiß niemand genau zu sagen. Und dass die Nutzung der eigenen Posts zu Trainingszwecken einer KI „erwartbar“ (ErwG 75) sei, wird man nicht ernsthaft annehmen können.

Spätestens hier verstärkt sich der Eindruck, dass das OLG das KI-Training – jedenfalls im einstweiligen Rechtsschutz – schlicht nicht anhalten wollte. Der Verweis auf ein mögliches Hauptsacheverfahren bleibt jedoch wenig tröstlich, da das KI-Training inzwischen in vollem Gange ist und nachträgliche Beschränkungen nur wenig Effekt versprechen.

Endgültig problematisch wird die Argumentation des OLG, wenn es um Daten Dritter in fremden Nutzerkonten geht: Richtig erkennt das OLG, dass hier Betroffene „weder den öffentlichen Status der Daten verändern noch einen Widerspruch erklären oder erklären können“ und dass „unter den Betroffenen auch Kinder sein können, deren Interessen in besonderer Weise schutzbedürftig sind“. Trotzdem bleibt das OLG bei seiner Auffassung eines Überwiegens von Metas Interessen – die das Gericht als „sehr bedeutsam einzuschätzendes und kernbereichsnah betroffenes Interesse an der Datenverarbeitung“ qualifiziert – gegenüber den Eingriffen in die Grundrechte Betroffener, welche das Gericht als von „eher geringer Intensität“ abqualifiziert. Da hätte man sich zumindest Ansätze einer Abwägung gewünscht. Ebenso rustikal verfährt das Gericht mit „besonders sensiblen Daten“ nach Art.  9 DS‑GVO: Soweit nicht der Ausnahmetatbestand des Art. 9 Abs. 2 lit. e) DS‑GVO greift (wenn sich die Verarbeitung auf personenbezogene Daten bezieht, welche „die betroffene Person offensichtlich öffentlich gemacht hat“), ist jedenfalls bei Daten Dritter ein klares Verarbeitungsverbot anzunehmen (Art. 9 Abs. 1 DS‑GVO). Doch auch hier weiß das OLG Köln (guten?) Rat: Es besinnt sich auf das „SuchmaschinenbetreiberPrivileg“, wonach rechtswidrige Inhalte vom Seitenbetreiber erst nach Hinweis heruntergenommen werden müssen und wendet dieses auch auf Art. 9-Daten an: Das OLG meint, „dass dieses Verbot im konkreten Fall einer „Aktivierung“ durch einen Antrag des betroffenen Dritten auf Herausnahme seiner Daten aus dem veröffentlichten Beitrag beziehungsweise aus dem Trainingsdatensatz bedurft hätte“. Eine nun wirklich überraschende Wendung, denn in der DS‑GVO sucht man Ansätze für eine solche „tätigkeitsbezogene Reduktion der Unterlassungspflichten“ eines KI-Entwicklers vergebens. Das Oberlandesgericht Köln hat am 23.05.2025, Az. 15 UKl 2/25, einen Antrag auf einstweilige Verfügung zurückgewiesen, die darauf abzielte, Meta Platforms die „Verarbeitung von personenbezogenen Daten, die Nutzer des Netzwerks auf der entsprechenden Plattform veröffentlicht haben, zum Zwecke der Entwicklung und Verbesserung von Systemen Künstlicher Intelligenz“ zu untersagen. Die Entscheidung hat zahlreiche juristisch interessante Aspekte, vor allem aber die Begründung mit Verweis auf die EuGH Rechtsprechung zu Suchmaschinen ist erörterungsbedürftig. Rn.  105 ff. des Urteils des OLG Köln offenbaren mit Blick auf die Problematik zu Art. 9 DS‑GVO eine mehrstufige „zwar-aber“ Argumentationskette.

Im ersten Schritt zeichnet das Gericht u.a. mit Verweis auf die Lindenapotheken-Entscheidung des EuGH die unionsgerichtliche Rechtsprechung nach, die von einem grundsätzlich weiten Anwendungsbereich des Art.  9 Abs.  1 DS‑GVO ausgeht.^[13] Der zweite Gedanke bestätigt dies auch für gemischte Datensätze und begründet das mit der Entscheidung des EuGH i.S. Bundeskartellamt ./. Meta.^[14]Nach Darlegung der begrenzten Implikationen des Ausnahmetatbestands des Art. 9 Abs. 2 lit e) DS‑GVO im Fall (jedenfalls für Third-Party Konstellationen)^[15] erteilt das Gericht, abermals den EuGH reflektierend, der in der Literatur vorgeschlagenen teleologischen Reduktion des Art. 9 Abs. 1 eine Absage,^[16] um dann die Entscheidung des EuGH zur Auslistung bei Suchmaschinen für das streitgegenständliche KI-Training fruchtbar zu machen. Nach EuGH muss bei Suchmaschinen das in Art.  9 DS‑GVO vorgesehene Verbot erst auf Grundlage eines Antrags der betroffenen Person „aktiviert“ werden.^[17]

Wer suchet, der findet? – Zur tätigkeitsbezogenen Reduktion des Art. 9 DS‑GVO

I. Begründung einer tätigkeitsbezogenen Reduktion für bestimmte Verarbeitungsszenarien

Das Gericht konstruiert so eine „tätigkeitsbezogene Reduktion“ und macht sich insoweit die Argumentation des EuGH zu Eigen. Der EuGH indes begründet in seiner Auslistungsentscheidung eher mit faktischen Notwendigkeiten als mit dogmatisch und auf den Wortlaut der Vorgaben der DS‑GVO rückführbaren Merkmalen. Etwas luzider sind die Ausführungen des GA im Verfahren, der den begrenzten Verantwortungsbereich der Suchmaschinenbetreiber mit beschränkten Befugnissen und Einflussmöglichkeiten begründet und darauf hinweist, dass der Umstand der Listung in den Suchergebnissen letztlich nur auf Hinweis Betroffener zu Tage tritt.

Generalanwalt Szpunar nimmt in seinen Ausführungen auch Bezug auf das vorausgegangene Verfahren Google Spain^[18] und die in diesem Rahmen erfolgten Ausführungen seines Kollegen Jääskinen. Dessen Votum war das Gericht damals nicht gefolgt. Jääskinen hatte die Verantwortlichkeit von Suchmaschinen für die in Rede stehenden Verarbeitungsschritte (gänzlich) verneint, und die anderenfalls eintretenden Konsequenzen klar benannt: „Bei Zugrundelegung der entgegensetzten Auffassung müsste man Internetsuchmaschinen nämlich als mit dem Unionsrecht unvereinbar erklären, […] die Tätigkeit des Internetsuchmaschinen-Diensteanbieters [wären] automatisch rechtswidrig, sofern nicht die in der genannten Bestimmung festgelegten strengen Voraussetzungen für die Verarbeitung [sensibler] Daten erfüllt sind.“^[19]

GA Slupnizar führt dann aus, mit Blick auf Suchmaschinen könne kein „Alles-oder-Nichts“-Ansatz gewählt werden, denn diese würde eine Suchmaschine zu einer Kontrolle verpflichten, ob eine im Anschluss an eine Suche anhand des Namens einer natürlichen Person angezeigte Ergebnisliste keinen Link zu Websites enthält, auf denen sich [Art. 9] Daten befinden. Eine Ex-ante-Kontrolle von Websites, die als Ergebnis einer Suche angezeigt werden, gehöre aber nicht zum Verantwortungsbereich noch zu den Möglichkeiten einer Suchmaschine.

II. Bewertung

Der Sache nach argumentieren OLG Köln, der EuGH und GA Slupnizar mit einer Konstruktion, die das Recht der Plattformregulierung seit über zwanzig Jahren kennt: dem Haftungsprivileg für Host-Provider,^[20] wie es ursprünglich in der E-Commerce-RiLi^[21] und nunmehr im DSA^[22] geregelt ist. Dessen Anwendung im Sinne einer kohärenten Anwendung des unionsrechtlichen Daten- und Digitalrechts erscheint zunächst auf Grundlage des Art. 2 Abs. 4 DS‑GVO möglich, der die Regeln der Plattformregulierung „unberührt“ lässt. Bedauerlicherweise enthält eine ebensolche „Unberührtheitsklausel“ die Plattformregulierung mit Blick auf das Datenschutzrecht, Art. 2 Abs. 4 lit. g) DSA. Wäre im Rahmen einer systematischen Auslegung, die grundsätzlich durchaus auch der unionsrechtlichen Methodik ist,^[23] eine widerspruchsfreie Lösung zwischen den Vorgaben des Plattformrechts und des Datenschutzrechts dem Grunde nach möglich, schließt das der Wortlaut explizit aus. Indem sich die beiden Regelungsmaterien gegenseitig verschließen und damit faktisch sperren, begründet der Unionsgesetzgeber insoweit explizit ein Verbot (gesamt)systematischer und damit kohärenter Auslegung.

Zwischenzeitlich positioniert sich in einem anderen summarischen Verfahren das OLG Schleswig^[24]allerdings abweichend. In Randnummer 52 erteilt das Gericht der „Suchmaschinenparallele“ eine Absage: „Hierbei ist auch zu bedenken, dass es allen Betroffenen anders als bei Suchmaschinen im Internet nicht möglich ist, herauszufinden, ob ihre Daten oder Abbildungen im Lerndatensatz der KI und damit ggf. auch im KIModell selbst rechtswidrig verwendet werden.“ Durchgängig überzeugend ist auch diese Begründung nicht. Trifft die Annahme des Gerichts zu, wenn man beispielsweise Klaus Müller heißt, und die Einträge (zu welchem Klaus Müller?) im Ergebnisranking so untergeordnet sind, dass der gewöhnliche Nutzer, der in der Regel die ersten bis zu fünf Seiten der Ergebnisliste einsieht, sie nicht wahrnimmt? Kann es auf diese an einer textlichen Namensnennung anknüpfende Wahrnehmbarkeit überhaupt ankommen? Auch bei der Suchmaschinennutzung sind doch Konstellationen denkbar, wo Dritte ungefragt fotografische Aufnahmen (personenbezogene Daten) einer Person auf Webseiten stellen, ohne zugleich den Namen anzugeben, der in erster Linie Gegenstand von Suchanfragen ist.

Die Entscheidung des OLG Köln und die Frage, ob und wie weit die Rspr. des EuGH zu Suchmaschinen übertragbar ist, zeigen letztlich: Anpassungen des europäischen Daten- und Digitalrechts sind unbedingt erforderlich. Einstweilen bleibt zu hoffen, dass den instanzgerichtlichen summarischen Verfahren ein Hauptsacheverfahren folgt, das Gelegenheit zur Vorlage an den EuGH bietet.

Überlegungen zu einer einschränkenden Auslegung des Art. 9 DS-GVO

Es kann Anlass zu Kritik bieten, wenn am Verfahren beteiligte Richter eigene Entscheidungen bewerten, statt dies der Wissenschaft und den Beteiligten zu übergeben. Aus einer Bitte, die Entscheidung 15 UKl 2/25 des Oberlandesgerichts Köln^[25] zu erörtern, musste der Verfasser sich daher entlassen lassen.

Unbeschadet einer Kommentierung des Ergebnisses im Einzelfall hat das Verfahren jedenfalls gezeigt, dass Verbraucher auch zentralen Anliegen vermeintlich übermächtiger Unternehmen nicht ohnmächtig gegenüberstehen, sondern ihre Rechte – freilich prozessual eingehegt^[26]– von gesetzgeberisch mit guten Gründen hierzu mandatierten Verbraucherverbänden auch in sehr komplexen Sachen effektiv verfolgt werden können. Das ist sicher kein unwichtiger Ertrag.

Weit über den Gegenstand des Verfahrens hinausgehend, werden die aktuell diskutierten Auslegungsfragen im Zusammenhang mit Art. 9 DS‑GVO maßgebliche Bedeutung dafür haben, ob und wie ein Ausgleich der berechtigten Schutzanliegen der von einer diesbezüglichen Datenverarbeitung Betroffenen mit ebenfalls berechtigten Innovationsinteressen im Rahmen des geltenden Rechts erfolgen kann. Dies soll im Folgenden auf knappem Raum besprochen werden.

I. Die neue Rechtsprechung des EuGH zu Art. 9 DS‑GVO und ihre Folgen

Der Europäische Gerichtshof hat in mehreren Entscheidungen eine „extensive“ Auslegung des Art. 9 Abs. 1 DS‑GVO vertreten. Ausreichend für eine Einstufung als gesundheitsbezogenes Datum sei, wenn aus den verarbeiteten Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden könne.^[27] Das in Art. 9 Abs. 1 DS‑GVO vorgesehene Verbot gelte unabhängig davon, ob die durch die fragliche Verarbeitung offengelegte Information richtig ist.^[28] Befinden sich Daten im Sinne des Art. 9 Abs. 1 DS‑GVO in einem Datensatz, infiziere dies den gesamten Datensatz.^[29] Art.  9 Abs.  2 DS‑GVO sei als Ausnahmevorschrift eng auszulegen.^[30] Auch einer in der Rechtswissenschaft für notwendig gehaltenen einschränkenden Auslegung^[31] des Art. 9 Abs. 1 DS‑GVO in Fällen, in denen der Zweck der Verarbeitung gerade nicht darin liegt, in identifizierender Weise Daten im Sinne des Art.  9 Abs.  1 DS‑GVO zu erlangen bzw. zu verarbeiten, hat der EuGH^[32] nach vielfachem Verständnis^[33] eine Absage erteilt.

Würde auf eine solche extensive Auslegung ein völlig schrankenloses Verbot der Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DS‑GVO außerhalb der Ausnahmetatbestände „aufgesetzt“, ließe sich Art. 9 Abs. 1 DS‑GVO nahezu jeder Verarbeitung größerer Datensätze aus dem Nutzerbereich entgegenhalten, da die Ausnahmetatbestände in der Praxis oftmals kaum zu erreichen sind. In vielen Fällen würde ein unerfüllbares Einwilligungserfordernis gelten. Die in vielen Wirtschaftsbereichen für eine technische Innovation unabdingbare Verarbeitung von großen Datensätzen mit Nutzerdaten wäre stark erschwert. Dies kann der „Dualität“ der Schutzzwecke der DS‑GVO, die neben dem Schutz personenbezogener Daten auch dem Schutz des freien Verkehrs solcher Daten und damit ihrer Verwendbarkeit dient, zuwiderlaufen.^[34]

II. Einschränkungsmöglichkeiten für Art. 9 Abs. 1 DS‑GVO

Ein solcher Befund ist in dieser Pauschalität aber der Rechtsprechung des Gerichtshofs richtigerweise nicht zu entnehmen.

1. Grundsätzliche Einschränkungsmöglichkeiten

Art. 9 Abs. 1 DS‑GVO begegnet den besonderen Risiken für die Betroffenen bei der Verarbeitung der dort genannten Datenkategorien mit einem besonderen Schutzregime, das ein „Verbot mit Erlaubnisvorbehalt“^[35] statuiert. Damit trägt der europäische Gesetzgeber der Erwägung Rechnung, dass „im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können“^[36]. Es ist nicht überzeugend, dass das Verarbeitungsverbot gleichsam absolut auch dann gelten soll, wenn ein entsprechendes Risiko nur sehr gering ist. Soweit der Gerichtshof eine generelle teleologische Reduktion für Datenverarbeitungen abgelehnt hat, die nicht final auf Daten im Sinne des Art. 9 Abs. 1 DS‑GVO gerichtet sind, bedeutet dies nicht, dass Einschränkungen nie zulässig sind.

Hiergegen spricht auch, dass den Entscheidungen in den vorgenannten Sachen C-252/21^[37]und C-21/23^[38] spezifische Sachverhalte bei Werbung für oder den Verkauf von Produkten zugrunde lagen. Die für diese Fälle geltenden Grundsätze sind daher bereits aufgrund der besonderen Art und Zwecks der Datenverarbeitung nicht generalisierbar.

Der Gerichtshof ist zudem in seiner Entscheidung vom 24.09.2019^[39] selbst von Einschränkungen der Untersagung des Art.  9 Abs.  1 DS‑GVO ausgegangen. Er hat entschieden, dass tätigkeitsbezogene Besonderheiten des Betriebs einer Suchmaschine den Umfang der Verantwortlichkeit und die konkreten Verpflichtungen des Betreibers in Art.  9 Abs.  1 DS‑GVO einschränken.

2. Einschränkungsmöglichkeiten im Einzelfall

Es ist damit im jeweiligen Fall zu untersuchen, ob ausnahmsweise und unter Berücksichtigung, dass in Art.  9 Abs.  1 DS‑GVO keine Abwägung vorgesehen ist, hinreichende Besonderheiten bestehen, eine Einschränkung vorzunehmen.

In der Sache 15 UKl 2/25^[40] hat das Oberlandesgericht Köln dies bejaht und in einem Fall einer nicht zielgerichteten Datenverarbeitung im Rahmen des Trainings eines KI-Modells mit Nutzerdaten, die ein vergleichsweise geringeres Risiko einer Grundrechtsverletzung im Sinne des ErwG 51 aufweist – was das Gericht aufgrund zahlreicher Abmilderungsmaßnahmen durch die Verfügungsbeklagte des Verfahrens gestützt sah – und aufgrund eines klar zutage getretenen gesetzgeberischen Willens eine solche Datenverarbeitung zuzulassen, auf eine Einschränkung des Art. 9 Abs. 1 DS‑GVO erkannt. Vorbild bot die vorgenannte Entscheidung des Gerichtshofs vom 24.09.2019^[41].

Der Gesetzgeber habe in Art.  10 Abs.  5 der KI-VO, die dem Willen folgt, weltweit eine europäische Führungsrolle im Bereich der KI-Entwicklung zu erlangen^[42], eine Rechtsgrundlage allein für den zielgerichteten Einsatz von Daten im Sinne des Art.  9 DS‑GVO beim Training von Hochrisiko-KI geschaffen.^[43]Für die nicht zielgerichtete Verarbeitung solcher Daten beim Training von KI-Modellen habe der Gesetzgeber in Kenntnis der Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an […] Daten“^[44], das stets die Gefahr der – unbeabsichtigten und nicht zielgerichteten – Verarbeitung von Daten im Sinne des Art. 9 DS‑GVO birgt, hingegen keinen Regelungsbedarf gesehen, sei also nicht von einer grundsätzlichen Rechtswidrigkeit des Trainings ausgegangen.

Zwar tritt Art.  10 Abs.  5 KI-VO, worauf das Gericht hinweist^[45], erst ab dem 02.08.2026 (Art. 113 KI-VO) in Kraft. Anhaltspunkte dafür, dass der Wille des Gesetzgebers zur Zulässigkeit des Trainings von KI-Modellen bis dahin aufgeschoben sein sollte, etwa aufgrund des gleichzeitigen Inkrafttretens von einhegenden weiteren Vorschriften der KI-VO, bestehen nicht.^[46] Auch die vom Gericht in Bezug^[47] genommene Konkurrenzregelung des Art. 2 Abs. 7 S. 2 KI-VO steht dem Ergebnis nicht entgegen. Es ist nicht ersichtlich, dass damit eine systematische Auslegung der DS‑GVO mit Blick auf neuere Rechtsvorschriften gesperrt werden sollte.^[48] Dabei ist zudem auch der Querverweis des Art. 9 Abs. 2 lit g) DS‑GVO in den Blick zu nehmen, mit dem gerade nach „außen“ und (auch) auf die hier relevante Passage der KI-VO verwiesen wird.^[49]

Das Gericht hat diese Einschränkung durch eine Antragsmöglichkeit auf Löschung – die im Rahmen des Trainings von KI-Modellen allerdings stets von fraglicher Wirksamkeit sei^[50] – eingehegt und die Einschränkung gleichsam eingeschränkt. Es ist von einer „tätigkeitsbezogenen Reduktion der Unterlassungspflicht der Verfügungsbeklagten dahin aus[gegangen], dass diese jedenfalls dann, wenn die Verarbeitung nicht zielgerichtet erfolgt, einer näheren Konkretisierung durch einen Antrag des Betroffenen auf Herausnahme seines Datensatzes bedarf.“^[51] Wenngleich der durch das Gericht entschiedene „KI-Fall“ mit dem „Suchmaschinen-Fall“ nicht ohne Weiteres vergleichbar ist, weil eine Kenntnis des Betroffenen über die von der Datenverarbeitung betroffenen Daten nicht besteht und eine Antragsmöglichkeit nicht in gleichem Maße effektiv sein wird, wird dies dadurch relativiert, dass das Gericht nur geringe Gefahren einer konkreten Schädigung der Betroffenen festgestellt hat. Weiter einschränkend hat das Gericht auf das allgemeine Erfordernis, die Voraussetzungen des Art. 6 Abs. 1 lit f) DS‑GVO zu wahren, hingewiesen.

III. Gesamtergebnis und Ausblick

Nach der hier vertretenen Auffassung gilt die Untersagung des Art. 9 Abs. 1 DS‑GVO nicht absolut, sondern kann in begründeten Ausnahmefällen durchbrochen werden. Ausweislich der vorgenannten Entscheidungen des Europäischen Gerichtshofs und des Oberlandesgerichts Köln lässt sich diese Einschränkungsmöglichkeit in der Praxis auch fruchtbar machen. Ob mit diesen in spezifischen Einzelfällen ergangenen Entscheidungen ohne gesetzgeberische Klarstellung hinreichende Rechtssicherheit besteht, um eine angemessene Anwendung des Art. 9 Abs. 1 DS‑GVO zu gewährleisten, ist indessen zweifelhaft und hängt jedenfalls von einer gebotenen gerichtlichen Klärung auf europäischer Ebene für den gesamten Geltungsbereich der DS‑GVO ab.

Das Kölner KI-Urteil ist richtig und entscheidend für KI-Innovationen – Nicht nur für Meta

Im Frühjahr 2025 reichte die Verbraucherzentrale NRW (VZ NRW) beim Oberlandesgericht Köln (OLG Köln) einen Antrag auf einstweilige Verfügung gegen Meta ein. Ihr Ziel: Meta daran zu hindern, öffentlich auf Facebook und Instagram geteilte Beiträge von Nutzern über 18 Jahren für das Training seiner generativen KI-Modelle zu verwenden. Die Begründung: Meta habe keine ausreichende Rechtsgrundlage gemäß der DS‑GVO und verstoße gegen Bestimmungen des DMA.

Dieser Fall hat nun zu einer wegweisenden Gerichtsentscheidung geführt, mit der die Forderungen der VZNRW vollständig zurückgewiesen wurden. Die Auswirkungen dieser Entscheidung gehen jedoch weit über Meta hinaus, insbesondere da alle Anbieter von GenAI-Modellen ihre Modelle mit öffentlichen Daten trainieren. Sie bekräftigt eine ausgewogene und innovationsfreundliche Auslegung des Datenschutzrechts, die nicht nur aus rechtlicher Sicht richtig, sondern auch für das KI-Ökosystem Europas unerlässlich ist.

I. Warum diese Entscheidung richtig und wichtig für KI-Innovationen ist, nicht nur für Meta

KI-Modelle, insbesondere generative KI, können ohne große, vielfältige und repräsentative Datensätze nicht effektiv trainiert werden. Mit der Bestätigung, dass „berechtigte Interessen” (in Verbindung mit robusten Schutzvorkehrungen) eine gültige Rechtsgrundlage für das KI-Training darstellen, hat das Gericht einen Regulierungsweg bestätigt, der europäische KI-Innovationen ermöglicht und gleichzeitig die Rechte der Menschen schützt.

Die Entscheidung des Gerichts steht im Einklang mit der Stellungnahme des Europäischen Datenschutzausschusses (EDSA) vom Dezember 2024, in der klargestellt wurde, dass die Einwilligung nicht die einzige tragfähige Rechtsgrundlage für das Training von KI ist. Die EDSA befürwortete eine Interessenabwägung, um sicherzustellen, dass die technologische Entwicklung nicht durch eine zu strenge Auslegung der Datenschutzgesetze sofort behindert wird.

Meta hat seine Compliance durch die Umsetzung strenger Abhilfemaßnahmen nach umfangreichen Gesprächen mit den Regulierungsbehörden weiter unter Beweis gestellt, wie in der Erklärung des IDPC zu erkennen ist^[52]: „Meta hat während dieses Prozesses auf die Forderungen der DPC reagiert und infolgedessen eine Reihe bedeutender Maßnahmen und Verbesserungen umgesetzt.” Zu diesen Maßnahmen gehören eine transparente Kommunikation mit den Nutzern, ein klarer und bedingungsloser Opt-out-Mechanismus sowie strenge Protokolle zur Datenminimierung und -sicherheit.

Darüber hinaus wies das Gericht die Behauptung zurück, dass der Ansatz von Meta gegen das Gesetz über digitale Märkte (DMA) verstoße, und stellte klar, dass der KI-Trainingsprozess keine unrechtmäßige Kombination personenbezogener Daten über Plattformen hinweg beinhalte. Es betonte, dass unstrukturierte Datensätze, die für das Modelltraining verwendet werden – und in erster Linie anonymisiert sind –, nicht mit plattformübergreifendem Profiling gleichzusetzen sind.

Wichtig ist auch, dass das Gericht die Behauptung zurückwies, Art. 9 DS‑GVO (Schutz sensibler Daten) würde ein solches Training verbieten. Meta hat zwar eine Reihe von Maßnahmen entwickelt, um die Verarbeitung besonderer Datenkategorien zu verhindern, doch kam das Gericht zu dem Schluss, dass selbst wenn irgendwo im Datensatz Reste verblieben wären, kein Verstoß gegen Art. 9 vorliegen würde. Dabei erkannte es an, dass die Wahrscheinlichkeit einer erneuten Identifizierung einzelner Personen aufgrund der Größe des Datensatzes und der Anonymisierungstechniken unwesentlich sei, und schloss sich damit der Auffassung der baden-württembergischen Landesdatenschutzbehörde^[53] an. Das Gericht betonte, dass eine zu restriktive Auslegung von Art.  9 unter anderem den Zielen des EU-KI-Gesetzes widersprechen würde, das die Führungsrolle Europas bei der Entwicklung sicherer und vertrauenswürdiger KI stärken soll.

Mit der Bestätigung dieses Ansatzes hat das Gericht sowohl die DS‑GVO als auch den DMA korrekt angewendet. Gleichzeitig hat es das in dem KI-Gesetz dargelegte übergeordnete Ziel der EU bekräftigt, Europa als weltweit führenden Standort zu etablieren und ein menschenzentriertes, sicheres, vertrauenswürdiges und ethisches KI-Ökosystem in Europa zu fördern. Hätte das Gericht anders entschieden, hätte er einen gefährlichen Präzedenzfall geschaffen: Unternehmen wären effektiv verpflichtet worden, vor der Durchführung von Schulungen die ausdrückliche Zustimmung der betroffenen Personen einzuholen. Das hätte die Entwicklung wirksamer KI-Modelle nahezu unmöglich gemacht und die Innovation in der gesamten Branche behindert – nicht nur für Meta, sondern für alle KI-Akteure in Europa.

II. Warum das hier angewandte deutsche Verfahren so ungewöhnlich, innovationsfeindlich und anfällig für Missbrauch ist

Der von VZ NRW in diesem Fall eingeschlagene Rechtsweg offenbart eine strukturelle Schwäche der digitalen Innovationslandschaft in Europa. Im Gegensatz zu Regulierungsverfahren, die von offiziellen Datenschutzbehörden (DSB) eingeleitet werden, ging diese Klage auf einen Antrag auf einstweilige Verfügung einer Verbraucherschutzorganisation zurück. Diese handelte auf eigene Initiative, verfolgte aber eine Abhilfe, die das Training von KI bei Meta auf nationaler Ebene in Deutschland blockiert hätte. Zwar spielen solche Organisationen eine wichtige Rolle bei der Verteidigung der Verbraucherinteressen, doch geben die deutschen Rechtsvorschriften, die es ihnen ermöglichen, de facto als digitale Regulierungsbehörden zu agieren, Anlass zu ernsthaften Bedenken.

Was das Verfahren besonders ungewöhnlich und problematisch machte, ist Folgendes:

1. Quasi-regulatorische Übergriffe ohne institutionelle Rechenschaftspflicht:

Die Klage der VZNRW war eine einseitige rechtliche Maßnahme, die den üblichen Regulierungsprozess umging und einen parallelen quasi-regulatorischen Durchsetzungskanal schuf, der eher durch Rechtsstreitigkeiten als durch einen fachlichen Regulierungsdialog angetrieben wurde.

2. Potenzial für eine fragmentierte Rechtslandschaft in Deutschland und Europa:

Wenn Verbraucherverbände in jedem Mitgliedstaat unabhängig voneinander Klagen mit nationaler Wirkung einreichen und damit ihre Auslegung der DS‑GVO in einer Weise durchsetzen können, die alle Bürger betrifft, hat das Konsequenzen: Es öffnet die Tür für fragmentierte, höchst unvorhersehbare und inkonsistente Urteile sowohl in Deutschland als auch in anderen EU-Mitgliedstaaten. Eine solche Rechtsunsicherheit schreckt Innovationen und Investitionen ab, insbesondere in Bereichen wie der KI, in denen der Zugang zu vielfältigen Daten von grundlegender Bedeutung ist.

3. Anti-Innovations-Instrumentalisierung von Verfahrensinstrumenten:

Einstweilige Verfügungen sind als dringende Rechtsmittel konzipiert, um drohenden Schaden abzuwenden. Ihre Nutzung als Strategie zur Blockierung der KI-Entwicklung hat eine abschreckende Wirkung auf Innovationen. Das gilt insbesondere, wenn die angeblichen Schäden spekulativ sind, ohne gründliche technische Analyse und die betroffenen Unternehmen keine gewöhnliche Berufung gegen die Verfügung einlegen können. Unternehmen könnten gezwungen sein, wichtige Forschungs- und Entwicklungsprojekte aufgrund „dringender” vorsorglicher Rechtsansprüche einzustellen. Dabei sollte dies nur aufgrund objektiver regulatorischer Feststellungen oder Gerichtsverfahren geschehen, in denen den Parteien ausreichend Zeit zur Darlegung ihrer Argumente eingeräumt wird und Richter fundierte Entscheidungen treffen können.

4. Risiko des Missbrauchs durch Klagen mit kommerziellen Absichten:

Es gibt eine separate wachsende Besorgnis über den Missbrauch dieser deutschen Verfahrensprivilegien durch professionelle Klagevehikel, die als Verbraucherverbände auftreten. Diese Einrichtungen, die eher durch Gewinnstreben als durch echten Verbraucherschutz motiviert sind, nutzen diese Rechtsvorschriften aus, um doppelte Klagen auf der Grundlage umfassenderer kommerzieller Prozessstrategien zu verfolgen. Ein bemerkenswertes Beispiel ist SOMI, eine niederländische Einrichtung, die offenbar als Klagevehikel gegründet wurde, um Sammelklagen gegen Technologieunternehmen in ganz Europa zu führen, und die Investoren Auszahlungen von bis zu 600 % in Aussicht stellt^[54]. Obwohl das Kölner Gericht zuvor einen Antrag auf eine einstweilige Verfügung der VZNRW (d.h. einer tatsächlichen deutschen Verbraucherorganisation) abgelehnt hatte, hat SOMI deutsche Anwälte angewiesen, das gleiche beschleunigte Verfahren zur Erwirkung einer einstweiligen Verfügung zu nutzen. Die Organisation bringt damit die gleichen Beschwerden vor ein anderes deutsches Landgericht, mit dem Ziel, den für ihre umfassendere Agenda günstigsten Gerichtsstand in der EU zu finden. Diese Taktik schafft nicht nur Rechtsunsicherheit und Fragmentierung. Sie zeigt auch, wie nicht-deutsche Unternehmen dazu ermutigt werden, in Deutschland landesweite Unterlassungsklagen anzustrengen, angezogen von niedrigen Prozesskosten und vorteilhaften Verfahrensregeln. Solche Praktiken bergen die Gefahr, dass das deutsche Verfahrensrecht zu einem Instrument wird, das nicht zum Schutz der Verbraucher, sondern als Teil umfassenderer kommerzieller Strategien eingesetzt wird, was letztlich technologische Innovationen in Deutschland direkt behindert.

III. Fazit:

Die weitreichenden Auswirkungen Die Entscheidung des Kölner Gerichts stellt das Gleichgewicht wieder her, indem sie bestätigt, dass KI-Innovation und der Schutz der Daten von Menschen sich nicht gegenseitig ausschließen. Sie erkennt an, dass eine harmonisierte, prinzipienbasierte Anwendung der DS‑GVO – und nicht fragmentierte Unterlassungsklagen, die von aktivistischen Prozessen vorangetrieben werden – für Europas Ambitionen in Bezug auf die Führungsrolle im Bereich der KI unerlässlich ist. Mehr noch: Sie stellt fest, dass die Auslegung des Datenschutzes nicht isoliert erfolgen kann und mit den von den politischen Entscheidungsträgern festgelegten Zielen der EU im Einklang stehen muss, in diesem Fall der Entwicklung der KI in der EU, wie sie im EU-KI-Gesetz klar festgelegt ist. Die Entscheidung hat daher eine Bedeutung, die weit über Meta hinausgeht: Sie ist ein wichtiger Schritt zur Gewährleistung von Rechtssicherheit, zur Förderung verantwortungsvoller KI-Innovationen und zur Vermeidung eines weiteren Rückstands Europas im globalen KI-Wettlauf. Unterdessen besteht weiterhin die Gefahr einer Fragmentierung durch weitreichende Unterlassungsurteile, die von gewinnorientierten Unternehmen angestrebt werden, die in Ländern mit laxen Verfahrensvorschriften wie Deutschland Forum Shopping betreiben. Es liegt im Interesse Deutschlands und Europas, dass die Gerichte dieser Praxis schädlicher und doppelter Rechtsstreitigkeiten entgegenwirken.

_{[1] OLG Köln, Urt. v. 23.05.2025 – 15 UKI 2/25, RDV 2025, 264 (in diesem Heft).}

_{[2] EuGH, Urt. v. 21.12.2023 – C 667/21, GRUR-RS 2023, 36822, Rn. 78 f. Dazu Albers/ Veit in BeckOK Datenschutzrecht, 52. Ed. (Stand: 01.05.2025), DS‑GVO Art. 9 Rn. 11; Franke, RDi 2023, 565(568 Rn. 14).}

_{[3] Vgl. etwa EuGH, Urt. v. 01.08.2022 – C-184/20, BeckRS 2022, 18630 Rn. 123.}

_{[4] Zum Folgenden auch Schwartmann/Köhler, EuDIR 2025, 285 (289-291).}

_{[5] Vgl. insofern EuGH, Urt. v. 24.09.2019 – C-136/17, BeckRS 2019, 22052 Rn. 45-47.}

_{[6] EuGH, Urt. v. 24.09.2019 – C-136/17, BeckRS 2019, 22052 Rn. 46.}

_{[7] EuGH, Urt. v. 24.09.2019 – C-136/17, BeckRS 2019, 22052 Rn. 47}

_{[8] Generalanwalt Szpunar, Schlussanträge v. 10.01.2019 – C-136/17 Rn.55.}

_{[9] EuGH, Urt. v. 24.09.2019– C-136/17, BeckRS 2019, 22052 Rn.47.}

_{[10] Dazu Wasilewski CR 2025, 450 (463).}

_{[11] OLG Schleswig, Urt. v. 12.08.2025 – 6 UKI 3/25, GRUR-RS 2025, 19976 Rn. 30. Der Antrag auf Erlass einer einstweiligen Verfügung wurde allerdings wegen fehlender Dringlichkeit zurückgewiesen}

_{[12] Justiz NRW, Oberlandesgericht Hamm: Neue Zuständigkeitskonzentrationen ab dem 01.07.2025: Mehr Spezialisierung und mehr Effizienz, Pressemitteilung v. 30.06.2025, abrufbar unter https://www.justiz.nrw.de/presse/2025-06-30-3 (Stand: 22.08.2025).}

_{[13] OLG Köln, Rn.  108 mit Verweis auf EuGH, Urt. v. 04.10.2024 – C-21/23 (Lindenapotheke) sowie EuGH, Urt. v. 01.08.2022 – C-184/20 und EuGH, Urt. v. 04.07.2023 – C-252/21.}

_{[14] EuGH, Urt. v. 04.07.2023 – C-252/21. In Rn. 89 dieses Urteils heißt es: „Wenn ein Datensatz, der sowohl sensible als auch nicht sensible Daten enthält, Gegenstand solcher Vorgänge ist und insbesondere als Ganzes erhoben wird, ohne dass die Daten zum Zeitpunkt dieser Erhebung voneinander getrennt werden können, ist die Verarbeitung dieses Datensatzes aber als i.S.v. Art. 9 I DS‑GVO untersagt anzusehen, sofern sie mindestens ein sensibles Datum umfasst und keine der in Art. 9 II DS‑GVO genannten Ausnahmen greift.}

_{[15] OLG Köln, Rn. 111, 115.}

_{[16] OLG Köln, Rn. 117 mit Verweis auf EuGH, Urt. v. 04.07.2023 – C-252/21 –, Rn. 69; EuGH, Urt. v. 04.10.2024 – C-21/23 -, Rn. 87).}

_{[17] EuGH C‑136/17 Rn. 45 ff.}

_{[18] EuGH, Urt. v. 13.05.2014, – C-131/12}

_{[19] Rn. 43 der Ausführungen GA Slupnizar im Verfahren, GA Jääskinen in Google Spain, Rn. 84 ff.}

_{[20] Eingehend dazu Keber, in: Dörr/Kreile/Cole, Medienrecht, Abschnitt M, Internet und Telemedienrecht, Rn. 52, 128. Die unionsrechtlichen Vorgaben waren in der Vergangenheit in §§ 7-10 Telemediengesetz geregelt.}

_{[21] Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates v. 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl. L 178 v. 17.07.2000, pp. 1-16, dort Art. 12 ff.}

_{[22] Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19.10.2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste), ABl. L 277 v. 27.10.2022, pp. 1-102, dort Art. 4 ff.}

_{[23] EuGH Urt. v. 18.10.2011 – C-34/10, Rn.  31; s. auch EuGH Urt. v. 10.03.2005 – C-336/03, Rn. 21; EuGH Urt. v. 22.12.2008 – C-549/07, Rn. 17.}

_{[24] Schleswig-Holsteinisches Oberlandesgericht, Entscheidung v. 12.08.2025, AZ 6 UKI 3/25.}

_{[25] OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris}

_{[26] OLG Schleswig-Holstein, Urt. v. 12.08.2025 – 6 UKI 3/25 –, juris.}

_{[27] EuGH, Urt. v. 04.10.2024 – C-21/23 –, juris, Rn. 83; für andere Daten als Gesundheitsdaten: EuGH, Urt. v. 01.08.2022 – C-184/20 –, juris, Rn. 123.}

_{[28] EuGH, Urt. v. 04.07.2023 – C-252/21 –, juris, Rn. 69.}

_{[29] EuGH, Urt. v. 04.07.2023 – C-252/21 –, juris, Rn. 89.}

_{[30] EuGH, Urt. v. 04.07.2023 – C-252/21 –, juris, Rn.  76 m.w.N.; EuGH, Urt. v. 04.10.2024 – C 446/21 –, Rn. 76.}

_{[31] Vgl. Jaspers/Schwartmann/Mühlenbeck, in: Schwartmann u.a., DS‑GVO, 2024, Art. 9 EUV 2016/679 Rn. 26; Plath, in: Plath, DS‑GVO, 2023, Art. 9 Rn. 5, 10f.}

_{[32] EuGH, Urt. v. 04.07.2023 – C-252/21 –, juris, Rn. 69; EuGH, Urt. v. 04.10.2024 – C-21/23 –, juris, Rn. 87.}

_{[33] Vgl. OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris, Rn. 113; Plath, in: Plath, DS‑GVO, 2023, Art. 9 Rn. 10e f.}

_{[34] Art. 1 Abs. 1 DS‑GVO; vgl. OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris, Rn. 115 m.w.N.}

_{[35] Jaspers/Schwartmann/Mühlenbeck, in: Schwartmann u.a., DS‑GVO, 2024, Art. 9 Rn. 124}

_{[36] ErwG 51, S. 1; Hervorhebung durch Verf.; sog. „risikobasierter Ansatz“: Jaspers/ Schwartmann/Mühlenbeck, in: Schwartmann, u.a., DS‑GVO, 2024, Art. 9 EUV Rn. 22.}

_{[37] EuGH, Urt. v. 04.07.2023, juris, Rn. 69}

_{[38] EuGH, Urt. v. 04.10.2024, juris, Rn. 87.}

_{[39] C-136/17 –, juris, Rn. 45 ff.; vgl. insoweit auch Schlussanträge des Generalanwalts vom 10.01.2019, Rn. 56 f.}

_{[40] OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris m.w.N}

_{[41] C-136/17 –, juris, Rn.  45 ff.; vgl. insoweit auch Schlussanträge des Generalanwalts v. 10.01.2019, Rn. 56 f.}

_{[42] ErwG 8 der KI-VO}

_{[43] ErwG 70 der KI-VO.}

_{[44] ErwG 105 der KI-VO.}

_{[45] OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris, Rn. 116.}

_{[46] A.A. Wasilewski, CR 2025, 450, 463.}

_{[47] OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris, Rn. 46.}

_{[48] A.A. Wasilewski, CR 2025, 450, 463.}

_{[49] Jaspers/Schwartmann/Mühlenbeck, in: Schwartmann, u.a. DS‑GVO, 2024, Art. 9 Rn. 185}

_{[50] OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris, Rn. 117.}

_{[51] OLG Köln, Urt. v. 23.05.2025 – I-15 UKl 2/25 –, juris, Rn. 117.}

_{[52]Https://www.dataprotection.ie/en/news-media/latest-news/dpc-statement-meta-ai.}

_{[53] Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hervorhebt, beinhaltet die Entwicklung großer Sprachmodelle auf der Grundlage sehr großer Trainingsdatensätze – um die es hier geht – nicht regelmäßig die gezielte Verarbeitung personenbezogener Daten oder die Identifizierung einer bestimmten Person. Insofern ist sie nicht von den Informationen des Einzelnen abhängig, wie dies bei einer eingreifenden Profilerstellung im Sinne von Art. 4 Abs. 4 DS‑GVO, die die DS‑GVO nur unter strengen Voraussetzungen zulässt“ (Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17.10.2024, S. 25; Franke, RDi 2023, 565, 568).}

_{[54]Https://somi.nl/en/investment.}