Aufsatz : KI-Training mit sensiblen Daten und Art. 9 DS‑GVO – zugleich Besprechung von OLG Köln, Urt. v. 23.05.2025 – 15 UKl 2/25 – Meta KI-Training : aus der RDV 5/2025, Seite 230 bis 239

2. Entscheidung des OLG Köln

Zentrale Bedeutung für die Entscheidung des OLG Köln kam unter anderem^[6] der Frage zu, ob das konkrete Vorhaben gegen das Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten aus Art. 9 Abs. 1 DS‑GVO verstößt. Einen solchen Verstoß gegen Art. 9 Abs. 1 DS‑GVO lehnte der Senat im Ergebnis ab und bestätigte damit auch insoweit die datenschutzrechtliche Zulässigkeit des Vorhabens.

Konkret sprach sich der erkennende Senat zwar gegen eine teleologische Reduktion des Verbots aus Art.  9 Abs.  1 DS‑GVO aus, stützte die Zulässigkeit der in Rede stehenden Datenverarbeitung aber sodann auf eine „tätigkeitsbezogene Reduktion der Unterlassungspflicht der Verfügungsbeklagten“, sprich Meta. In Anlehnung an die Rechtsprechung des EuGH betreffend Suchmaschinenbetreiber entwickelte der Senat als ungeschriebenes Tatbestandsmerkmal für das Verarbeitungsverbot aus Art. 9 Abs. 1 DS‑GVO insoweit einen Antrag^[7] des Betroffenen auf Herausnahme seiner Daten aus dem Trainingsdatensatz.

3. Grundsätzliche Bedeutung

Die grundsätzliche Bedeutung der Entscheidung und der ihr zugrunde liegenden Rechtsfragen für die datenschutzrechtliche Zulässigkeit von KI-Training zeigt sich nicht zuletzt auch in dem wiederholten Hinweis des erkennenden OLG-Senats auf eine mögliche Art. 267 AEUV-Vorlage an den EuGH in der Hauptsache. Es besteht somit begründeter Anlass zu einer vertieften Auseinandersetzung mit den Entscheidungsgründen und den weit über den entschiedenen Fall hinausgehenden Grundsatzfragen.

In diesem Beitrag werden hierzu nachfolgend zunächst die Anwendbarkeit des Art. 9 Abs. 1 DS‑GVO (II.) und mögliche Ausnahmetatbestände aus Art.  9 Abs.  2 DS‑GVO (III.) näher betrachtet. Anschließend wird der vom Senat entwickelte Ansatz einer tätigkeitsbezogenen Reduktion analysiert (IV.), bevor alternative Lösungsansätze dargestellt werden (V.). Beschlossen wird die Bearbeitung mit einer Zusammenfassung und einem Ausblick (VI.)

II. Verarbeitungsverbot aus Art. 9 Abs. 1 DS‑GVO

Art. 9 DS‑GVO statuiert Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten. Die Vorschrift enthält ein grundsätzliches Verbot der Verarbeitung von sensiblen personenbezogenen Daten, das nur unter bestimmten engen Voraussetzungen durchbrochen werden kann. Zu den besonders geschützten, sensiblen Daten zählen unter anderem Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische oder biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten sowie Angaben zum Sexualleben oder zur sexuellen Orientierung. Diese Daten gelten als besonders sensibel, weil ihre unkontrollierte Verarbeitung erhebliche Risiken für die Persönlichkeitsrechte und die Privatsphäre der betroffenen Personen mit sich bringen kann, womit es sich bei Art. 9 DS‑GVO um eine Ausformung des der DS‑GVO zugrunde liegenden risikobasierten Ansatzes handelt.^[8]

In diesem Sinne sieht Art. 9 Abs. 1 DS‑GVO ein generelles Verbot der Verarbeitung dieser Datenkategorien vor, während Abs. 2 eine abschließende Aufzählung von Ausnahmetatbeständen enthält, nach denen eine Verarbeitung gleichwohl zulässig sein kann. Zu diesen Ausnahmetatbeständen zählt insbesondere die ausdrückliche Einwilligung der betroffenen Person, darüber hinaus sind aber auch bestimmte gesetzlich vorgesehene Zwecke benannt, etwa im Arbeits-, Sozial- oder Gesundheitsbereich oder Gründe des erheblichen öffentlichen Interesses.

Das OLG Köln hat ausgeurteilt, dass die von Meta angestrebte Verarbeitung der Nutzerdaten zum Zwecke des KI-Trainings eine Verarbeitung besonderer Kategorien personenbezogener Daten darstellt und damit in den Anwendungsbereich von Art. 9 Abs. 1 DS‑GVO fällt. Denn es handelt sich um personenbezogene Daten (1.), die unter die besonderen Datenkategorien von Art. 9 Abs. 1 DS‑GVO fallen (2.).

1. Vorliegen von personenbezogenen Daten, Art. 4 Nr. 1 DS‑GVO

Bei den in Rede stehenden Nutzerdaten handelt es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DS‑GVO, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Die von Meta vorgesehene „De-Identifizierung“ führt nach dem Gericht insbesondere nicht zu einer Anonymisierung.[9] So steht einer wirksamen Anonymisierung vor allem auch ein erhebliches Risiko der ReIdentifizierung für die betroffene Person entgegen. Vor dem Hintergrund der stetig steigenden Rechenleistungen und im Zusammenhang mit Big-Data-Analysen steigt die Wahrscheinlichkeit, dass durch die Verknüpfung verschiedener Daten und die Kombination relevanter Daten der Personenbezug wiederhergestellt werden kann.^[10]

In diesem Zusammenhang stellt sich die grundsätzliche Frage, was die Anforderungen an eine wirksame Anonymisierung sein sollen. Dies ist in der DS‑GVO nicht näher konkretisiert, sodass auf die allgemeinen DS‑GVO-Vorgaben zur Identifizierbarkeit bzw. zum Personenbezug aus ErwG 26 DS‑GVO zu rekurrieren ist. Negativ formuliert liegt hiernach eine Anonymisierung und damit kein Bezug zu einer identifizierten oder identifizierbaren Person vor, wenn alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich eingesetzt werden können, um die betreffende Person zu identifizieren – und sich trotzdem kein Personenbezug herstellen lässt.

Der EuGH interpretiert die Begriffe der Identifizierung und Identifizierbarkeit sowie damit auch den der Personenbezogenheit sehr weit. Eine solche Auslegung führt zu einer weiten Anwendbarkeit der DS‑GVO, für die das Vorliegen von personenbezogenen Daten das entscheidende Kriterium ist. Diese Entwicklung stellt Verantwortliche mit Blick auf die Datennutzung und damit auch betreffend das hier in Rede stehende KI-Training vor erhebliche praktische Herausforderungen, weil Verantwortliche laufend umfassende Risikoanalysen vornehmen müssen, um Möglichkeiten der (Re-) Identifizierung zu bewerten. Hierzu müssen vielfach auch rein hypothetische Szenarien durchgespielt werden; zudem muss überprüft werden, ob neue Analyseinstrumente die erfolgte Anonymisierung erneut hinfällig machen (können).

2. Vorliegen von besonderen Kategorien personenbezogener Daten, Art. 9 Abs. 1 DS‑GVO

Die streitgegenständlichen Nutzerdaten unterfallen zudem dem Anwendungsbereich von Art. 9 Abs. 1 DS‑GVO.

a) Gesundheitsdaten, Art. 4 Nr. 15 DS‑GVO

Der erkennende Senat hat im zugrunde liegenden Fall die Anwendbarkeit von Art.  9 Abs.  1 DS‑GVO betreffend die Verarbeitung von Gesundheitsdaten bejaht. Der weit auszulegende^[11] Begriff der Gesundheitsdaten ist in Art. 4 Nr. 15 DS‑GVO legaldefiniert und erfasst alle personenbezogenen Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen. Dabei genügt es nach der Rechtsprechung des EuGH, dass aus den Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann.^[12]

b) Weitere Kategorien sensibler Daten

Zwar hat das OLG Köln in seinen Entscheidungsgründen lediglich auf Gesundheitsdaten abgestellt. Es kann aber bei der von Meta geplanten Verarbeitung der Facebook- und Instagram-First-Party-Daten bei lebensnaher Betrachtung davon ausgegangen werden, dass neben Gesundheitsdaten auch weitere nach Art. 9 Abs. 1 DS‑GVO geschützte Datenkategorien, wie beispielsweise über politische Meinungen, ethnische Herkunft oder sexuelle Orientierung, von dem Vorhaben betroffen sein können.

c) Gemischte Datensätze

Weiterhin ist dem OLG Köln dahingehend zuzustimmen, dass Art. 9 Abs. 1 DS‑GVO auf die Verarbeitung der Nutzerdaten zu KI-Trainingszwecken bereits dann anzuwenden ist, wenn zwar einige, aber nicht alle im Trainingsdatensatz enthaltenen Nutzerdaten als sensible Daten unter Art.  9 Abs. 1 DS‑GVO fallen. Denn nach der einschlägigen EuGH-Judikatur gilt das Verarbeitungsverbot aus Art. 9 Abs. 1 DS‑GVO auch für gemischte Datensätze insgesamt, sofern jedenfalls mindestens ein sensibles Datum in dem betreffenden Datensatz enthalten ist.^[13]

III. Ausnahmen vom Verarbeitungsverbot nach Art. 9 Abs. 2 DS‑GVO

Nachdem somit das allgemeine Verarbeitungsverbot aus Art. 9 Abs. 1 DS‑GVO für abschließend festgelegte sensible Datenkategorien eingreift, waren die Ausnahmen zu prüfen, sprich ob die von Meta angekündigte Verarbeitung der Facebook- und Instagram Nutzerdaten zum Zwecke des KITrainings unter einen der in Art. 9 Abs. 2 DS‑GVO enumerativ und abschließend aufgezählten Ausnahmetatbestände subsumiert werden kann.

Da, wie der erkennende Senat zutreffend festgestellt hat, eine Einwilligung der betroffenen Personen realistischerweise kaum mit zumutbarem Aufwand zu erlangen sein wird, werden vorliegend lediglich die Ausnahmetatbestände aus Art. 9 Abs. 1 lit. e) („offensichtlich öffentlich gemachte Daten“), lit. g) („erhebliches öffentliches Interesse“) und lit. j) („archivarische, wissenschaftliche und statistische Zwecke“) DS‑GVO ernsthaft in Betracht kommen.^[14]

1. Art. 9 Abs. 2 lit. e) DS‑GVO („offensichtlich öffentlich gemachte Daten“)

Die in Rede stehende Verarbeitung von sensiblen personenbezogenen Nutzerdaten durch Meta fällt nicht in allen Fällen unter den Ausnahmezustand des Art. 9 Abs. 2 lit. e) DS‑GVO, wie das OLG Köln zutreffend und überzeugend dargelegt hat. Denn die nach allgemeinen Grundsätzen eng auszulegende^[15] Ausnahmevorschrift des Art. 9 Abs. 2 lit. e) DS‑GVO ermöglicht zwar eine Verarbeitung von sensiblen Daten im Sinne des Art. 9 Abs. 1 DS‑GVO, wenn sich die Verarbeitung auf solche personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat.

Der erkennende Senat verneint aber zu Recht eine Anwendbarkeit des Art.  9 Abs.  2 lit.  e) DS‑GVO auf Nutzerdaten mit Drittbezug.^[16]Dem Schutzzweck von Art. 9 Abs. 1 DS‑GVO und dem eindeutigen Wortlaut entsprechend greift der Ausnahmetatbestand des Art. 9 Abs. 1 lit. e) DS‑GVO nur für solche Daten, die die betroffene Person selbst veröffentlicht hat.^[17] Die Veröffentlichung durch die betroffene Person stellt einen Verzicht auf den Schutz des Art. 9 Abs. 1 DS‑GVO dar, über den sie nur selbst disponieren kann.^[18]Ein solcher Verzicht kann gerade nicht durch bzw. für Dritte erfolgen.

2. Art. 9 Abs. 2 lit. g) DS‑GVO („erhebliches öffentliches Interesse“)

Gemäß Art.  9 Abs.  2 lit.  g) DS‑GVO gilt das Verarbeitungsverbot aus Art.  9 Abs.  1 DS‑GVO nicht, wenn die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt, angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht sowie aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist.

Art. 9 Abs. 2 lit. g) DS‑GVO stellt keinen eigenständigen Erlaubnistatbestand dar, sondern enthält (lediglich) eine horizontale Öffnungsklausel, auf deren Grundlage der europäische oder nationale Gesetzgeber das erhebliche öffentliche Interesse anhand einer konkretisierenden Norm regeln kann.^[19] Das Vorliegen einer solchen übergreifenden europäischen oder nationalstaatlichen Konkretisierungsnorm für Datenverarbeitungen zum Zwecke des KI-Trainings ist nicht ersichtlich; etwas anderes mag gelten für eine (analoge) Anwendung von Art. 10 Abs. 5 S. 1 KI-VO.^[20]

Unbeschadet dessen ist ganz grundsätzlich die Frage aufzuwerfen, ob und inwieweit eine Datenverarbeitung zum Zwecke der Entwicklung und Verbesserung eines KI-Systems im öffentlichen Interesse liegen kann. Eine in diesem Sinne im öffentlichen Interesse vorgenommene Datenverarbeitung muss dem Grunde nach der Gemeinschaft dienen, was etwa bejaht werden kann, wenn die Datenverarbeitung zur Wahrung der Freiheitsrechte, der Durchsetzung der Rechtsstaatlichkeit, der Forschung und wissenschaftlichen Erkenntnis, der Wahrung der Gleichheit oder der Sicherung der öffentlichen Gesundheit und Fürsorge erfolgt.^[21] Das Interesse eines Privatunternehmens an der Entwicklung eines KI-Systems mit Gewinnerzielungsabsicht dürfte für sich genommen zumeist kein erhebliches öffentliches Interesse darstellen, mag aber zumindest als ein Faktor im Rahmen einer Gesamtbetrachtung eine Rolle spielen. Zudem kann gegebenenfalls die Entwicklung eines Open-Source-Modells im öffentlichen Interesse liegen und daher zu berücksichtigen sein. Nach der Ausnahmevorschrift des Art.  53 Abs. 2 KI-VO müssen Anbieter von Open-Source-GPAI-Modellen zudem nicht die Pflichten aus Abs. 1 erfüllen.

3. Art. 9 Abs. 2 lit. j) DS‑GVO („archivarische, wissenschaftliche und statistische Zwecke“)

Eine ausnahmsweise Zulässigkeit der Verarbeitung von sensiblen personenbezogenen Daten wird schließlich auch nicht auf Grundlage von Art.  9 Abs.  2 lit. j) DS‑GVO unter dem Gesichtspunkt der wissenschaftlichen Forschung in Betracht kommen. Nach Maßgabe von ErwG 159 DS‑GVO soll die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken weit ausgelegt werden und beispielsweise eine Verarbeitung für die technologische Entwicklung und die privat finanzierte Forschung einschließen. Eine Forschungsaktivität im Zusammenhang mit der KI-Entwicklung kann demnach zwar im Ausgangspunkt unter das Forschungsprivileg fallen. Das Forschungsprivileg muss aber dahingehend eingeschränkt werden, dass solche Forschungstätigkeiten, die einem rein wirtschaftlichen Zweck untergeordnet sind, von dem Ausnahmetatbestand auszunehmen sind.^[22]

Im vorliegend zu beurteilenden Sachverhalt der von Meta beabsichtigten Verarbeitung von sensiblen personenbezogenen Daten zur Entwicklung und Verbesserung eigener KISysteme dürfte die mit Gewinnerzielungsabsicht betriebene Entwicklungstätigkeit einem primären wirtschaftlichen Zweck unterzuordnen sein und somit nicht unter das Forschungsprivileg fallen.

Jedenfalls aber erfordert auch dieser Ausnahmebestand das Vorhandensein einer Grundlage im Unionsrecht bzw. im Recht der Mitgliedstaaten, wobei eine solche spezifische Rechtsvorschrift nicht ersichtlich ist.

IV. Lösungsansatz des OLG Köln

Das OLG Köln bejahte zwar zunächst die Eröffnung des Anwendungsbereichs von Art. 9 Abs. 1 DS‑GVO und lehnte eine Subsumtion der in Rede stehenden Datenverarbeitungen unter den Ausnahmetatbestand des Art.  9 Abs.  2 lit. e) DS‑GVO ab. Im Anschluss kam der erkennende Senat aber gleichwohl zur Ablehnung eines Verarbeitungsverbots nach Maßgabe von Art. 9 Abs. 1 DS‑GVO (vorbehaltlich einer Art. 267 AEUV-Vorlage an den EuGH) mit der – dogmatisch nachfolgend zu hinterfragenden – Begründung, wonach ein Verarbeitungsverbot im konkreten Einzelfall einer „Aktivierung“ in Form eines Antrags der betroffenen Person auf Herausnahme ihrer Daten aus dem Trainingsdatensatz bedürfe.

1. Zwar: Keine gänzliche teleologische Reduktion von Art. 9 Abs. 1 DS‑GVO

Zwar verneinte das OLG Köln in einem ersten Schritt unter Berufung auf die Judikatur des EuGH eine das Verarbeitungsverbot aus Art.  9 Abs.  1 DS‑GVO gänzlich ausschließende teleologische Reduktion. Eine solche teleologische Reduktion komme, so das OLG Köln, auch dann nicht in Betracht, wenn der Zweck der Verarbeitung – wie im vorliegenden Fall – gerade nicht darin liege, in identifizierbarer Weise „sensible“ Informationen zu erlangen bzw. zu verarbeiten.^[23] Dabei rekurrierte der erkennende Senat auf die Rechtsprechung des EuGH zu personalisierter Werbung und zur Verarbeitung von Nutzerdaten im Rahmen der Bestellung apothekenpflichtiger Medikamente auf Onlineplattformen.^[24] In diesen Urteilen hat der EuGH klargestellt, dass es für die Anwendbarkeit von Art. 9 Abs. 1 DS‑GVO gerade nicht darauf ankommen soll, ob der Verantwortliche mit dem Ziel handele, Informationen zu erhalten, die unter die sensiblen Datenkategorien aus Art. 9 Abs. 1 DS‑GVO fallen.^[25]

2. Aber: Antragserfordernis als ungeschriebenes Tatbestandsmerkmal

Das OLG Köln bejahte schließlich im Wege einer „tätigkeitsbezogenen Reduktion“ unter Einführung eines Antragserfordernisses – wohl – als ungeschriebenes Tatbestandsmerkmal die datenschutzrechtliche Vereinbarkeit des Vorhabens mit Art. 9 DS‑GVO.

In einem ersten Schritt lehnte das Gericht hierzu eine hinreichende Vergleichbarkeit des zugrunde liegenden Sachverhalts mit den vorstehend bereits in Bezug genommenen, vom EuGH entschiedenen Sachverhalten zur personalisierten Werbung und zu Medikamentenbestellungen auf Onlineplattformen ab.^[26] Dieses Vorgehen ermöglichte es, in einem zweiten Schritt die vom EuGH für Suchmaschinenbetreiber entwickelte Rechtsprechung zur tätigkeitsbezogenen Reduktion des Art. 9 Abs. 1 DS‑GVO auf den Streitfall zu übertragen.^[27]

Für Suchmaschinenbetreiber hat der EuGH entschieden, dass tätigkeitsbezogene Besonderheiten des Geschäftsmodells zwar keine vollständige Freistellung von dem Verarbeitungsverbot aus Art.  9 Abs.  1 DS‑GVO rechtfertigen; diese Besonderheiten sollen sich jedoch auf den Umfang der Verantwortlichkeit und konkreten Verpflichtungen des Suchmaschinenbetreibers im Hinblick auf diese Bestimmungen auswirken können.^[28] Eine solche Einschränkung in Gestalt eines Antragserfordernisses auf Grundlage tätigkeitsbezogener Besonderheiten sah der erkennende Senat für die streitgegenständliche Datenverarbeitung zum Zwecke des KI-Trainings als gegeben an.^[29]

Zur Stützung dieses Arguments verwies das OLG Köln auf den Willen des Unionsgesetzgebers, der mit Erlass der KI-Verordnung das klare Ziel artikuliert habe, wonach Europa bei der KI-Entwicklung eine Vorreiterrolle einnehmen solle.^[30] Dabei sei zutreffend erkannt worden, dass für ein effektives KI-Training eine Verarbeitung von „großen Massen an Daten“ erforderlich und hierbei auch sensible Daten im Sinne des Art. 9 DS‑GVO betroffen sein würde(n).^[31] Aus der Regelung des Art. 10 Abs. 5 der KI-VO, die eine Rechtsgrundlage für den zielgerichteten Einsatz von Daten im Sinne des Art.  9 DS‑GVO beim Training von Hochrisiko-KI schafft, schloß das OLG Köln im Umkehrschluss, dass der Gesetzgeber für eine nicht zielgerichtete Datenverarbeitung zum Zwecke des KI-Trainings keinen Regelungsbedarf gesehen habe.^[32]Daraus ergebe sich, dass der Gesetzgeber nicht von einer entsprechenden Unmöglichkeit oder grundsätzlichen Rechtswidrigkeit einer nicht zielgerichteten Verarbeitung von Daten im Sinne des Art. 9 DS‑GVO zum Zweck des KI-Trainings ausgegangen sei.^[33]

3. Bewertung und Stellungnahme

Der durch das OLG Köln unter hohem Zeitdruck in einem summarischen Verfahren im einstweiligen Rechtsschutz entwickelte Lösungsansatz ist nachfolgend kritisch zu hinterfragen.

a) Wortlaut

Zunächst ist hervorzuheben, dass sich dem Wortlaut des Art. 9 DS‑GVO kein Antragserfordernis als ungeschriebenes Tatbestandsmerkmal für die „Aktivierung“ des Verarbeitungsverbots aus Art. 9 Abs. 1 DS‑GVO entnehmen lässt.

b) Systematik: Objektiver Verbotstatbestand vs. Betroffenenrecht

Weiterhin ist anzumerken, dass durch die Einführung eines Antragserfordernisses der betroffenen Person als ungeschriebenes Tatbestandsmerkmal für die „Aktivierung“ des Verarbeitungsverbots aus Art.  9 Abs.  1 DS‑GVO ein rechtsdogmatisch objektiv ausgestaltetes Verarbeitungsverbot in potenziell systemwidriger Weise zu einem subjektiven Betroffenenrecht umgedeutet wird.

Denn Art.  9 Abs.  1 DS‑GVO enthält – vergleichbar zu Art.  6 Abs.  1 DS‑GVO – ein grundsätzliches und objektives Verarbeitungsverbot mit Erlaubnisvorbehalt nach Maßgabe der der in Abs. 2 der Norm niedergelegten Ausnahmetatbestände.^[34] Dabei ist das in Art. 9 Abs. 1 DS‑GVO geregelte objektive Verarbeitungsverbot in Abgrenzung zu sehen zu den – in Kapitel III der DS‑GVO verorteten – subjektiven Betroffenenrechten, die mit Ausnahme der Informationspflichten regelmäßig einen Antrag oder ein Verlangen der betroffenen Person voraussetzen.^[35]

Ein solches Antragserfordernis ist den von der DS‑GVO vorgesehenen objektiven Verarbeitungsverboten grundsätzlich fremd und droht somit zu einer systemwidrigen Umdeutung des Verarbeitungsverbots zu einem subjektiven Betroffenenrecht zu führen.

c) Übertragbarkeit der Antragslösung auf KI-TrainingsKonstellationen

Schließlich ist zu (hinter-)fragen, ob und inwieweit die unter Rekurs auf die Ausführungen des EuGH vom OLG Köln entwickelte Antragslösung auf KI-Trainingsdatensätze praktikabel zur Anwendung gebracht werden kann. Denn eine hinreichende Vergleichbarkeit von Datenverarbeitungen durch Suchmaschinenbetreiber einerseits und zum Zwecke von KI-Training andererseits trifft auf mehrere Hürden: Zunächst werden bei lebensnaher Betrachtung die betroffenen Personen bei drittbezogenen Daten regelmäßig bereits keine Kenntnis von der Verarbeitung ihrer sensiblen Daten zum Zwecke des KI-Trainings haben. Die Aktivierung eines Betroffenenantrags setzt jedoch zwingend voraus, dass die betroffenen Personen von der Datenverarbeitung im konkreten Fall Kenntnis erlangen.

Der Entscheidung des EuGH hinsichtlich der Suchmaschinenbetreiber liegt mit Blick auf die Möglichkeit der Kenntniserlangung der Betroffenen von der Datenverarbeitung ein gänzlich anders gelagerter Sachverhalt zugrunde, da den betroffenen Personen im Anschluss an eine Suchanfrage die relevanten Daten in der Ergebnisliste der Suchmaschine angezeigt werden. Dementsprechend führten im betreffenden EuGH-Verfahren gerade erst (abgelehnte) Auslistungsersuchen betroffener Personen gegen den Suchmaschinenbetreiber zu einem gerichtlichen Verfahren. Dem Verfahren voraus gingen also Suchanfragen der betroffenen Personen und die Auffindbarkeit entsprechender Sucheinträge, sprich eine Möglichkeit zur Kenntnisnahme und der Stellung eines Auslistungsantrags. Eine solche Suchanfrage steht den betroffenen Personen bei einem KI-Trainingsdatensatz aber nicht zur Verfügung. Hervorzuheben ist, dass dieser Befund eine Privilegierung von Datenverarbeitungen im Zusammenhang mit KI-Entwicklungen nicht ausschließt, wenn insoweit eine andere belastbare(re) Rechtsgrundlage gefunden wird.^[36]

Ferner steht einer Vergleichbarkeit entgegen, dass eine nachträgliche Löschung der sensiblen Nutzerdaten aus einer bereits trainierten KI – anders als bei Suchmaschinenbetreibern durch einfaches Auslisten^[37] – jedenfalls nach dem aktuellen Stand von Technik und Wissenschaft nicht oder allenfalls sehr eingeschränkt möglich ist. Im Zuge des KITrainings kommt es dabei zu einer verstetigten Einbettung der Trainingsdaten in das Daten- und Verhaltensmuster des KI-Algorithmus.^[38] Diese technische Besonderheit von KI-Algorithmen ist vor allem im Zusammenhang mit der Gefahr sog. Model Inversion Attacks zu betrachten. Dabei handelt es sich um Reverse Engineering-Technologien, mit denen auf der Output-Ebene die sensiblen Trainingsdaten rekonstruiert und offengelegt werden können.^[39]

Das OLG Köln erkennt die Problematik der nur eingeschränkten Löschmöglichkeit von KI-Trainingsdaten, hält sie im Ergebnis jedoch für unbeachtlich.^[40] Zur Begründung wird insoweit verwiesen auf die „festgestellten nur geringen Gefahren einer konkreten Schädigung der Betroffenen durch die weitere Verarbeitung der bereits öffentlichen Daten“.^[41]

V. Alternative Lösungsansätze und Überlegungen

In Ansehung der bisherigen Ausführungen und Erwägungen soll nunmehr dem Gedanken einer teleologischen Reduktion des Verarbeitungsverbots aus Art. 9 Abs. 1 DS‑GVO erneut nähergetreten werden.

1. Keine pauschale Absage des EuGH an eine teleologische Reduktion

Die durch das OLG Köln vorgenommene pauschale Absage an eine teleologische Reduktion von Art.  9 Abs.  1 DS‑GVO im Hinblick auf das KI-Training unter Bezugnahme auf die EuGH-Rechtsprechung zur personalisierten Werbung und zu Medikamentenbestellungen auf Onlineplattformen vermag nicht vollumfänglich zu überzeugen.

Der EuGH hat in den beiden Urteilen – anders als vom OLG Köln unzutreffend unterstellt – bereits gar nicht über die Möglichkeit einer teleologischen Reduktion entschieden, sondern vielmehr nur Art.  9 DS‑GVO dahingehend ausgelegt, ob die Vorschrift ein subjektives Element (i.e. Finalität) voraussetzt.^[42] Hieraus wird sich gerade nicht ableiten lassen, dass eine teleologische Reduktion des Verarbeitungsverbots aus Art. 9 Abs. 1 DS‑GVO insgesamt ausgeschlossen ist. Vielmehr sind die einschlägigen Ausführungen des EuGH lediglich dahingehend zu verstehen, dass die Nicht-Zielgerichtetheit einer Verarbeitung und Analyse von sensiblen personenbezogenen Daten für sich genommen (noch) nicht ausreicht, um eine teleologische Reduktion zu begründen.

Soweit das OLG Köln die EuGH-Rechtsprechung darüber hinausgehend als pauschale Absage an eine teleologische Reduktion versteht, ist dem erkennenden Senat nicht zu folgen. Denn eine solche teleologische Reduktion muss für das Verarbeitungsverbot aus Art. 9 Abs. 1 DS‑GVO nach den allgemeinen Grundsätzen der juristischen Methodenlehre weiterhin grundsätzlich möglich sein,^[43] wenn und soweit die entsprechenden Voraussetzungen vorliegen.

Überdies mangelt es, wie auch das OLG Köln selbst zutreffend festgestellt hat, an einer hinreichenden normativen und strukturellen Vergleichbarkeit der den EuGH-Entscheidungen zugrunde liegenden Sachverhalten mit der vorliegend untersuchungsgegenständlichen Konstellation des KI-Trainings.^[44]

2. Teleologische Reduktion von Art. 9 Abs. 1 DS‑GVO für KI-Training

Das Verarbeitungsverbot aus Art.  9 Abs.  1 DS‑GVO beruht nach seinem Sinn und Zweck auf der erhöhten Schutzbedürftigkeit solcher Datenkategorien, denen aufgrund ihrer höchstpersönlichen Natur und ihrem identitätsstiftenden Charakter ein erhöhtes Missbrauchs-, Schadens- und Diskriminierungspotenzial zukommt.^[45] In Ansehung dieser abstrakt-generellen Zweckwürdigung der Norm sollte eine korrigierende schutzbedarfsgerechte teleologische Reduktion immer dann in Betracht gezogen werden, wenn ein erhöhtes Missbrauchs-, Schadens- und Diskriminierungspotenzial im Wege einer umfassenden Gesamtwürdigung aller Umstände des konkreten Einzelfalls für die in Rede stehende Datenverarbeitung ausgeschlossen werden kann.^[46] An den Ausschluss des spezifischen Missbrauchs-, Schadens- und Diskriminierungspotenzials dürfen hierbei unter Berücksichtigung des risikobasierten Ansatzes der DS‑GVO keine unerfüllbaren Anforderungen gestellt werden.^[47]

Vor diesem Hintergrund sprechen gewichtige Erwägungen für eine teleologische Reduktion des Art.  9 Abs.  1 DS‑GVO betreffend Datenverarbeitungen zum Zwecke des KI-Trainings: Wie auch das OLG Köln richtigerweise festgestellt hat, werden die personenbezogenen Daten für das KI Training zu allgemeinen Mustern für statistische Wahrscheinlichkeitsberechnungen abstrahiert.^[48] Eine Profilbildung auf Grundlage der in Art. 9 Abs. 1 DS‑GVO genannten besonders schutzwürdigen Kategorien soll hiernach gerade nicht erfolgen.^[49] Für die Risikobewertung ist zudem relevant, ob der Datensatz etwa dem Training einer KI mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) dienen soll oder für ein fachspezifisches KI-Modell bzw. -System (beispielsweise im medizinischen Bereich) konzipiert ist. Falls es sich um eine GPAI handelt, wird das spezifische Missbrauchs-, Schadens- und Diskriminierungsrisiko auf Grundlage einer besonders schutzwürdigen Datenkategorie durch das KI-System für die betroffenen Personen grundsätzlich niedriger einzustufen sein. Überdies sollten auch besondere technische Schutzmaßnahmen, wie beispielsweise die Einrichtung von Output-Filtern, positiv in die Gesamtbetrachtung einfließen.

3. Aktivierung des risikobasierten Ansatzes der DS‑GVO

Der Gedanke einer teleologischen Reduktion des Verarbeitungsverbots aus Art. 9 Abs. 1 DS‑GVO findet zudem eine systematische Stütze im risikobasierten Ansatz der DS‑GVO, der sich auch und gerade in Art. 24 DS‑GVO manifestiert. Bereits in den ErwG 75 f. DS‑GVO wird zudem ausdrücklich betont, dass das Ausmaß und die Eintrittswahrscheinlichkeit der mit der Verarbeitung verbundenen Risiken relevante Faktoren bei der Anwendung der DS‑GVO sind. Die DS‑GVO verfolgt insoweit im Einklang mit Art. 8 GRCh keine formale, sondern eine materielle Perspektive: Entscheidend ist somit nach dem Sinn und Zweck nicht allein die abstrakte Datenkategorie, sondern die konkrete Gefährdungslage für die Rechte und Freiheiten der betroffenen Personen.

Bei KI-Trainingsvorhaben, die – wie auch im Falle von Meta – nicht auf die gezielte Auswertung sensibler Informationen zur Individualprofilierung, sondern vielmehr auf die Entwicklung allgemeiner Sprachmodelle gerichtet sind, lässt sich ein spezifisches, relevantes Missbrauchs-, Diskriminierungs- oder Schadensrisiko im Sinne von Art. 9 Abs. 1 DS‑GVO regelmäßig nicht feststellen. In einer solchen Konstellation erscheint es – unter Wahrung der systematischen Trennung von Erlaubnistatbeständen und Betroffenenrechten – daher sachgerecht, den Anwendungsbereich des Verarbeitungsverbots im Wege einer zweckorientierten Auslegung durch teleologische Reduktion zu begrenzen.

Dies gilt umso mehr, als die Einführung eines generellen Verbots auch für risikominimierte Verarbeitungen dazu führen würde, dass der Schutzmechanismus der DS‑GVO nicht mehr verhältnismäßig, sondern vielmehr überdehnt zur Anwendung zu kommen droht. Der risikobasierte Ansatz der DS‑GVO verlangt nach alledem, (auch) die dogmatische Konstruktion von Art. 9 Abs. 1 DS‑GVO so zur Anwendung zu bringen, dass der Zweck der Norm – sprich der Schutz vor spezifischen Gefährdungen – nicht zu einer pauschalen Blockade risikoadjustierter Verarbeitungsmodelle fehlgeleitet wird.

4. Analoge Anwendung von Art. 10 Abs. 5 S. 1 KIVO auf nicht zielgerichtete Datenverarbeitung zum Zwecke des KI-Trainings

Die datenschutzrechtliche Zulässigkeit der Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DS‑GVO zum Zwecke des KI-Trainings könnte ferner in Betracht kommen im Zuge einer analogen Anwendung des vom OLG Köln thematisierten Erlaubnistatbestands aus Art.  10 Abs.  5 S.  1 KI-VO auf nicht zielgerichtete Datenverarbeitungen aufgrund einer planwidrigen Regelungslücke und einer vergleichbaren Interessenlage.

Mit Art. 10 Abs. 5 S. 1 KI-VO hat der EU-Gesetzgeber von der Möglichkeit einer unionsrechtlichen Rechtfertigung der Verarbeitung sensibler Daten nach Art. 9 Abs. 1 lit. g) DS‑GVO Gebrauch gemacht und einen entsprechenden Erlaubnistatbestand geschaffen.^[50] Konkret ermöglicht Art. 10 Abs. 5 KI-VO unter engen Voraussetzungen die zielgerichtete Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art.  9 Abs.  1 DS‑GVO, soweit dies für die Erkennung und Korrektur von Verzerrungen im Zusammenhang mit Hochrisiko-KI-Systemen unbedingt erforderlich ist.^[51] Hierbei zeigt der Umkehrschluss aus Art. 10 Abs. 6 KIVO, dass diese Fehlerkorrektur vor allem das Training des zugrunde liegenden KI-Modells betrifft und die Vorschrift daher Implikationen auch für KI-Modelle (mit allgemeinem Verwendungszweck), also über den späteren Einsatz als Hochrisiko-KI-System hinaus haben könnte.

Eine planwidrige Regelungslücke könnte insoweit darauf gestützt werden, dass Art. 10 Abs. 5 KI-VO lediglich eine zielgerichtete Verarbeitung von besonderen Kategorien personenbezogener Daten bei Hochrisiko-KI-Systemen erlaubt, eine solche Regelung jedoch fehlt für die nicht zielgerichtete, aber mangels Vermeidbarkeit erforderliche Verarbeitung bei KI-Systemen, die keine Hochrisiko-KI-Systeme sind. Zugleich ist insoweit zu berücksichtigen, dass der europäische Gesetzgeber das Phänomen gekannt und erkannt haben dürfte – und Art.  10 Abs.  5 KI-VO vor diesem Hintergrund hätte (deutlich) ausbauen können.

Für das Vorliegen einer vergleichbaren Interessenlage mag angeführt werden, dass der Gesetzgeber mit Art.  10 Abs. 5 S. 1 KI-VO gerade Möglichkeiten zur Sicherstellung der Datenqualität im Hinblick auf ein KI-Modell eröffnet, welches in einem Hochrisiko-KI-System zum Einsatz kommt. Das gleicht dem Fall, dass ohne die beiläufige, nicht zielgerichtete Verarbeitung besonderer Kategorien personenbezogener Daten mangels verfügbarer oder praktikabel zusammenstellbarer Datensätze ein entsprechender Qualitätsstandard nicht sichergestellt werden kann (und erhebliche Verzerrungen denkbar sind). Dieses Bedürfnis an „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ zum Training eines KI-Modells mit allgemeinem Verwendungszweck erkennt der europäische Gesetzgeber aber gerade in ErwG 105 S. 2 KI-VO an.^[52]

In Ansehung des engen Bezugs zum Training eines (jeden) KI-Modells und dem ebenfalls gebotenen Qualitätsstandard könnte dies auch für KI-Modelle mit allgemeinem Verwendungszweck und unabhängig davon gelten, ob diese später in ein Hochrisiko-KI-System integriert werden. Hier stellt sich sodann die Frage, weshalb für die – einer nachträglichen Korrektur denklogisch vorgelagerten – originäre Zusammenstellung des Trainingsdatensatzes eine Verarbeitung sensibler personenbezogener Daten im Sinne des Art.  9 Abs.  1 DS‑GVO nicht unter bestimmten Voraussetzungen zulässig sein sollte, wenn der Gesetzgeber mit Art. 10 Abs. 5 S. 1 KI-VO die nachträgliche Korrektur von Verzerrungen durch eine Verarbeitung von sensiblen personenbezogenen Daten ermöglicht

Insgesamt bleibt abzuwarten, wie sich die Diskussion zur Frage der analogen Anwendung von Art. 10 Abs. 5 S. 1 KIVO auf nicht zielgerichtete Datenverarbeitung zum Zwecke des KI-Trainings entwickelt. Eine belastbar rechtssichere Klärung wird nur durch den EuGH im Wege eines Art.  267 AEUV-Vorlageverfahrens erfolgen können.

VI. Gesamtergebnis und Ausblick

Die den Ausgangspunkt dieser Abhandlung bildende Eilverfahrens-Entscheidung des OLG Köln vom 23.05.2025 verdient besondere Beachtung, da sie sich einer komplexen, höchst praxisrelevanten und bislang kaum geklärten datenschutzrechtlichen Problematik widmet. Der rechtlichen Zulässigkeit der Verarbeitung von sensiblen personenbezogenen Daten für das Training von KI-Technologien auf der Grundlage und am Maßstab von Art. 9 DS‑GVO kommt hierbei hervorgehobene Bedeutung zu. Das Gericht hat zutreffend erkannt, dass im Spannungsfeld zwischen dem technologischen Entwicklungsdruck im Bereich KI und dem hohen Schutzniveau der Datenschutz-Grundverordnung eine rechtliche Klärung erforderlich ist, die im Sinne von Verhältnismäßigkeit und schonendem Grundrechtsausgleich den verschiedenen betroffenen Interessen angemessen Rechnung trägt.

Der Lösungsansatz des Senats, nicht pauschal ein Verarbeitungsverbot aus Art. 9 Abs. 1 DS‑GVO anzunehmen, sondern den Sachverhalt im Lichte der tätigkeitsbezogenen Besonderheiten bei der KI-Entwicklung differenziert zu würdigen, offenbart strukturelle Klärungsnotwendigkeiten des geltenden Datenschutzrechts im Umgang mit innovativen Technologien wie KI. Vor diesem Hintergrund erscheint eine richtungsweisende Klärung durch den EuGH geboten – und gegebenenfalls darüber hinaus auch ein gesetzgeberisches Tätigwerden. Die vom OLG Köln bereits in Aussicht gestellte Vorlage im Hauptsacheverfahren gemäß Art. 267 AEUV könnte daher zu einer grundsätzlichen Weichenstellung für die datenschutzrechtliche Behandlung von KI-Trainingsdaten führen. Hierbei wird es insbesondere darauf ankommen, wie sich der EuGH zu einer teleologischen Reduktion des Verarbeitungsverbots nach Art. 9 Abs. 1 DS‑GVO im KI-(Trainings-)Kontext sowie der Reichweite von Öffnungsklauseln wie Art. 10 Abs. 5 KI-VO verhält. Für die Praxis wäre eine solche Klärung von erheblichem Wert, um sowohl Anbietern als auch Betroffenen (mehr) Rechtssicherheit im Umgang mit sensiblen personenbezogenen Daten im Rahmen von KI-Prozessen zu verschaffen.

Klar ist bereits jetzt: Die Thematik der datenschutzrechtlichen Beurteilung des KI-Trainings und -Einsatzes wird eines der zentralen Themen der kommenden Jahre bleiben. In diesem Sinne markiert das Urteil des OLG Köln einen ersten Schritt auf dem Weg zu ausgewogenen rechtlichen Lösungen, die sowohl Datenschutz gewährleisten als auch Innovation ermöglichen. Ein wesentliches übergreifendes Ziel muss es sein, eine belastbare und rechtssichere Privilegierung (auch) für die Entwickler und das Training von KI-Technologien im europäischen Raum zu schaffen.

_{[1] EDSA, Stellungnahme 28/2024 zu gewissen Datenschutzaspekten der Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Modellen, angenommen am 02.12.2024.}

_{[2] Zu den hiermit verbundenen Rechtsfragen siehe die weiteren Beiträge in diesem RDV-Heft.}

_{[3] Vgl. hierzu auch die DPC-Pressemitteilung vom 21.05.2025, abrufbar unter https://www.dataprotection.ie/en/news-media/latest-news/dpc-statement-meta-ai.}

_{[4] Abrufbar unter https://about.fb.com/news/2025/04/making-ai-work-harder-for-europeans/.}

_{[5] OLG Köln, Urt. v. 23.05.2025 – 15 UKl 2/25, RDV 2025, 262.}

_{[6] Weiterhin musste das Gericht die Rechtmäßigkeit des Vorhabens auf der Grundlage und am Maßstab von – vor allem – auf Art. 6 DS‑GVO und Art. 5 DMA ausführlich prüfen. Der erkennende Senat hat diesbezüglich entschieden, dass die konkrete Verarbeitung vom Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 lit. f) DS‑GVO umfasst und ein Verstoß gegen Art. 5 Abs. 2 UAbs. 1 lit. b) DMA abzulehnen sei. Der vorliegende Beitrag befasst sich ausschließlich mit der Frage nach der Zulässigkeit des Vorhabens in Ansehung von sensiblen personenbezogenen Daten nach Art. 9 DS‑GVO.}

_{[7] Das Gericht sprach von einer „,Aktivierung‘ durch einen Antrag des betroffenen Dritten auf Herausnahme seiner Daten aus dem […] Trainingsdatensatz“, OLG Köln, RDV 2025, 262, 269 Rn. 116.}

_{[8] So bereits Veil, ZD 2015, 347, 349.}

_{[9] OLG Köln, RDV 2025, 262, 264 Rn.  59 m.w.N. (insbesondere auf Paal, ZfDR 2024, 129, 136).}

_{[10] Paal, ZfDR 2024, 129, 136 m.w.N.}

_{[11] Vgl. BeckOK/Albers/Veit, Datenschutzrecht, 52. Edition, Stand: 01.05.2025, Art.  9 Rn.  45; Gola/Heckmann/Schulz, 3. Aufl., 2022, DS‑GVO, Art.  9 Rn.  20; Paal/Pauly/Frenzel, DS‑GVO, 3. Aufl., 2021, Art. 9 Rn. 15 m.w.N}

_{[12] Vgl. EuGH, GRUR 2025, 1721, 1727 Rn. 83 – Lindenapotheke; ZD 2022, 611, 614 Rn. 123. So auch zutreffend vom erkennenden OLG-Senat unter Bezugnahme auf die EuGH-Rechtsprechung übernommen.}

_{[13] EuGH, GRUR 2023, 1131 Rn. 89 – Meta Platforms ua (Facebook Ireland).}

_{[14] Der erkennende Senat diskutiert zwar entsprechend des Vortrags der Verfügungsbeklagten Meta lediglich den Ausnahmetatbestand aus Art. 9 Abs. 2 lit. e) DS‑GVO. Aufgrund der besonderen Bedeutung der Entscheidung werden die weiteren beachtlichen Ausnahmetatbestände in diesem Beitrag aber ebenfalls behandelt.}

_{[15] Vgl. zur engen Auslegung des Ausnahmetatbestands insbesondere EuGH, GRUR 2023, 1131 Rn. 76 m.w.N. – Meta Platforms ua (Facebook Ireland); GRUR 2024, 1821, 1826 Rn. 76 – Schrems.}

_{[16] OLG Köln, RDV 2025, 262, 268 Rn. 111.}

_{[17] EuGH, GRUR 2023, 1131 Rn. 75 – Meta Platforms ua (Facebook Ireland).}

_{[18] Vgl. Kühling/Buchner/Weichert, DS‑GVO, 4. Aufl., 2024, Art. 9 Rn. 77; Jaspers/ Schwartmann/Mühlenbeck in: Schwartmann u.a., DS‑GVO, 3. Aufl., 2024, Art. 9 Rn. 165; Kritisch mit Blick auf die Wertung, dass die betroffene Person durch die Veröffentlichung der Daten auf den Schutz nach Art. 9 Abs. 1 DS‑GVO „verzichtet“ siehe Simitis/Hornung/Spiecker gen. Döhmann/Petri, DS‑GVO, 2. Aufl., 2025, Art. 9 Rn. 57. Im Ergebnis kann die genaue dogmatische Einordnung jedoch offen bleiben, da jedenfalls anerkannt ist, dass die Ausnahmevorschrift des Art. 9 Abs. 2 lit. e) DS‑GVO auf solche Daten keine Anwendung findet, die nicht von der betroffenen Person, sondern von Dritten veröffentlicht wurden.}

_{[19] So auch Paal/Pauly/Frenzel, DS‑GVO, 3. Aufl., 2021, Art. 9 Rn. 38; Gola/Heckmann/Schulz, DS‑GVO, 3. Aufl., 2022, Art.  9 Rn.  37; Ehmann/Selmayr/Schiff, DS‑GVO, 3. Aufl., 2024, Art. 9 Rn. 52; BeckOK/Albers/Veit, Datenschutzrecht, 52. Edition, Stand: 01.05.2025, Art. 9 Rn. 86; aA wohl EuGH, NJW 2019, 3503, 3507 Rn. 66, entgegen dem (klaren) Wortlaut der Norm keine weitere gesetzliche Konkretisierung für erforderlich haltend.}

_{[20] Siehe dazu sogleich unter V. 3.}

_{[21] Vgl. Kühling/Buchner/Weichert, DS‑GVO, 4. Aufl., 2024, Art. 9 Rn. 90.}

_{[22] Vgl. hierzu Kühling/Buchner/Weichert, 4. Aufl., 2024, Art. 9 Rn. 129.}

_{[23] OLG Köln, RDV 2025, 262, 269 Rn. 117.}

_{[24] EuGH, GRUR 2023, 1131 – Meta Platforms ua (Facebook Ireland); GRUR 2025, 1721, 1727 – Lindenapotheke.}

_{[25] EuGH, GRUR 2023, 1131 Rn. 69 – Meta Platforms ua (Facebook Ireland); EuGH, GRUR 2025, 1721, 1727 Rn. 87 – Lindenapotheke.}

_{[26] OLG Köln, RDV 2025, 262, 269 Rn. 119}

_{[27] OLG Köln, RDV 2025, 262, 269 Rn. 118.}

_{[28] EuGH, NJW 2019, 3503, 3507 Rn. 45 ff.}

_{[29] OLG Köln, RDV 2025, 262, 269 Rn. 121.}

_{[30] OLG Köln, RDV 2025, 262, 269 Rn. 119 unter Verweis auf ErwG 8 der KI-VO.}

_{[31] OLG Köln, RDV 2025, 262, 269 Rn. 120 unter Verweis auf ErwG 105 der KI-VO.}

_{[32] OLG Köln, RDV 2025, 262, 269 Rn. 120}

_{[33] OLG Köln, RDV 2025, 262, 269 Rn. 120.}

_{[34] Vgl. BeckOK/Albers/Veit, DS‑GVO, 52. Edition, Stand: 01.05.2025, Art. 9 Rn. 49; Ehmann/Selmayr/Schiff, DS‑GVO, 3. Aufl., 2024, Art.  9 Rn.  9; Gola/Heckmann/Schulz, DS‑GVO, 3. Aufl., 2022, Art. 9 Rn. 4; Kühling/Buchner/Weichert, DS‑GVO, 4. Aufl., 2024, Art. 9 Rn. 7.}

_{[35] Unter anderem setzen die Betroffenenrechte (i.e. Art. 15 ff. DS‑GVO) grundsätzlich einen vorherigen Antrag bzw. ein vorheriges Verlangen des Betroffenen voraus.}

_{[36] Siehe hierzu sogleich unter V.}

_{[37] Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Dix, DS‑GVO, 2. Aufl., 2025, Art. 9 Rn. 23 ff. mit ausführlicher Diskussion zu EuGH, NJW 2014, 2257 – Google Spain}

_{[38] Vgl. Kindshofer, ZD 2024, 673, 677.}

_{[39] Vgl. Paal, ZfDR 2024, 129, 152 f. m.w.N.}

_{[40] OLG Köln, RDV 2025, 262, 269 Rn. 121.}

_{[41] OLG Köln, RDV 2025, 262, 270 Rn. 121.}

_{[42] EuGH, GRUR 2023, 1131 Rn. 69 – Meta Platforms ua (Facebook Ireland); EuGH, GRUR 2025, 1721, 1727 Rn. 87 – Lindenapotheke.}

_{[43] Vgl. zu dem Stellenwert des Normzwecks in der Methodenlehre und der teleologischen Reduktion als selbstverständlich anerkanntes methodisches Instrument etwa Grigoleit, in: FS Claus-Wilhelm Canaris, Privatrechtsdogmatik im 21. Jahrhundert, Dogmatik – Methodik – Teleologik, 2017, S. 241 ff.}

_{[44] OLG Köln, RDV 2025, 262, 269 Rn. 119.}

_{[45] Vgl. Kühling/Buchner/Weichert, DS‑GVO, 4. Aufl., 2024, Art. 9 Rn. 17; Paal/Pauly/Frenzel, DS‑GVO, 3. Aufl., 2021, Art. 9 Rn. 6 m.w.N}

_{[46] Das Erfordernis einer schutzbedarfsgerechten, kontextabhängigen teleologischen Reduktion wird in der Literatur überwiegend bejaht, vgl. BeckOK/ Albers/Veit, DS‑GVO, 52. Edition, Stand: 01.05.2025, Art.  9 Rn.  21; Paal/Pauly/Frenzel, DS‑GVO, 3. Aufl., 2021, Art.  9 Rn.  6 ff.; Gola/Heckmann/Schulz, DS‑GVO, 3. Aufl., 2022, Art. 9 Rn. 13}

_{[47] Ausführlich zum risikobasierten Ansatz in der DS‑GVO Schröder, ZD 2019, 503; Jungkind/Koch, ZD 2022, 656.}

_{[48] Vgl. OLG Köln, RDV 2025, 262, 270 Rn. 122.}

_{[49] Vgl. OLG Köln, RDV 2025, 262, 270 Rn. 122.}

_{[50] Vgl. Martini/Wendehorst/Braun Binder/Egli, KI-VO, 2024, Art. 10 Rn. 80.}

_{[51] Ausführlich zu den Voraussetzungen einer ausnahmsweisen Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 10 V KI-VO Martini/Wendehorst/Braun Binder/Egli, KI-VO, 2024, Art. 10 Rn. 81 ff.}

_{[52] S. hierzu auch OLG Köln, RDV, 262, 269 – Rn. 120.}