Werde Mitglied!

OLG Köln erlaubt Meta KI-Training mit öffentlichen Nutzerdaten – ein Wendepunkt im Datenschutzverständnis?

Am 27. Mai 2025 hat das Oberlandesgericht Köln entschieden, dass der Konzern Meta Platforms Ireland Ltd. öffentliche Nutzerdaten aus Deutschland für das Training seiner KI-Modelle verwenden darf (Az. 15 UKl 2/25). Meta ist es damit gestattet, ab sofort öffentlich zugängliche Inhalte von Facebook- und Instagram-Nutzern aus Deutschland zur Entwicklung und Verbesserung seiner KI-Systeme heranzuziehen. Die Entscheidung markiert eine neue Phase der rechtlichen Bewertung datengetriebener KI-Innovationen – mit direkten Implikationen für Legal-Tech-Anwendungen, die auf öffentliche Informationen angewiesen sind.

Ausgangspunkt: Der Eilantrag der Verbraucherzentrale NRW

Der Entscheidung vorausgegangen war ein Eilantrag der Verbraucherzentrale NRW. Diese wandte sich gegen Metas geänderte Nutzungsbedingungen, wonach ab Ende Mai auch öffentlich sichtbare Beiträge, Kommentare und Bildbeschreibungen zum KI-Training herangezogen werden sollen. Das Gericht lehnte den Antrag ab – mit der Begründung, dass eine ausdrückliche Einwilligung der Nutzer gemäß Art. 6 Abs. 1 lit. f DSGVO nicht zwingend erforderlich sei, sofern ein berechtigtes Interesse vorliege. Dieses sei hier gegeben.

Juristische Kernaussagen: Berechtigtes Interesse statt Einwilligung

Laut Gericht liegt ein legitimes wirtschaftliches und technisches Interesse Metas an der Datenverarbeitung vor – konkret: die Weiterentwicklung und Qualitätssicherung von KI-Systemen. Gemäß Art. 6 Abs. 1 lit. f DSGVO ist eine Verarbeitung zulässig, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist und keine überwiegenden Interessen oder Grundrechte der betroffenen Person entgegenstehen.

Das OLG argumentiert, dass große Datenmengen für das Training leistungsfähiger Modelle erforderlich seien und derzeit keine milderen, gleich effektiven Mittel zur Verfügung stünden. Damit wird deutlich: Der effiziente Ausbau generativer KI wird datenschutzrechtlich als legitimer Zweck anerkannt.

Schutzmaßnahmen und Opt-out-Pflicht

Meta habe – so das Gericht – angemessene technische Maßnahmen implementiert, um den Datenschutz sicherzustellen. Dazu zählen insbesondere:

  • Verwendung ausschließlich öffentlich sichtbarer Inhalte, also Inhalte, die auch über Suchmaschinen auffindbar sind;
  • Ausschluss eindeutiger Identifikatoren, etwa Telefonnummern, Kreditkartennummern oder E-Mail-Adressen;
  • Ausschluss klar personenbezogener Informationen, beispielsweise private Nachrichten, Standortdaten oder hochgeladene Ausweiskopien.

Nutzer mussten aktiv bis zum 26. Mai 2025 widersprechen, um eine Verarbeitung ihrer Inhalte zu verhindern – ein sogenanntes Opt-out-Modell. Dieses ist datenschutzrechtlich zulässig, erfordert jedoch ein hohes Maß an Informationstransparenz und Verständlichkeit.

Relevanz für Legal-Tech: Trainingsdaten, Fairness und Modellverantwortung

Auch im Legal-Tech-Sektor setzen viele Tools auf öffentlich zugängliche Inhalte – von Gerichtsentscheidungen über Gesetzeskommentierungen bis hin zu Community-Diskussionen in Fachforen. Die Entscheidung öffnet hier Interpretationsspielräume für die datenschutzkonforme Nutzung solcher Quellen, beispielsweise bei:

  • juristischen Chatbots, die auf öffentlich verfügbare FAQ-Daten trainiert sind;
  • KI-gestützter Mustererkennung in Urteilen (z. B. im Flug-, Verkehrs- oder Mietrecht);
  • automatisierter Normensuche in Kommentierungen oder Gesetzeswerken.

Das Urteil wirft jedoch weiterhin zentrale Fragen auf: Was genau ist als „öffentlich zugänglich“ zu verstehen? Und wie lässt sich sicherstellen, dass besonders sensible Daten bei der Verarbeitung zuverlässig ausgeschlossen werden?

Diese Problematik gewinnt insbesondere vor dem Hintergrund der besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO an Bedeutung. Danach ist die Verarbeitung von Daten zu etwaiger ethnischer Herkunft, politischen Meinungen, Gesundheitsinformationen oder sexueller Orientierung grundsätzlich verboten, es sei denn, es liegen enge Ausnahmetatbestände vor, beispielsweise eine ausdrückliche Einwilligung der Betroffenen.

Für KI-Systeme, die große Mengen unstrukturierter Daten verarbeiten, entsteht dadurch eine erhebliche technische Herausforderung: Wie lassen sich sensible Inhalte automatisiert und rechtssicher erkennen und aussortieren? Insbesondere bei multimodalen Daten, die Textinhalte mit Kontextinformationen verbinden, ist eine vollumfängliche und fehlerfreie Filterung oft kaum möglich. Diese Problematik betrifft nicht nur große Plattformbetreiber, sondern auch Legal-Tech-Anbieter, die auf öffentlich zugängliche Inhalte aus Kommentaren, juristischen Blogs oder offenen Datenbanken zugreifen. In der Praxis sind daher nicht nur technische Schutzmaßnahmen erforderlich, sondern auch klar definierte, nachvollziehbare Prozesse zur Prüfung, Klassifizierung und Protokollierung potenziell sensibler Dateninhalte.

Fazit

Das Urteil des OLG Köln signalisiert einen wichtigen Entwicklungsschritt im Umgang mit öffentlich zugänglichen Daten für die KI-gestützte Legal-Tech-Entwicklung. Es unterstreicht, dass die Nutzung großer Datenmengen für die Weiterentwicklung von KI-Systemen rechtlich anerkannt wird – jedoch nicht ohne steigende Anforderungen an Transparenz, Datenschutz und Risikomanagement. Legal-Tech-Anbieter müssen daher klare Kriterien zur Datenklassifizierung und zum Ausschluss sensibler Inhalte etablieren, technische Prüfprozesse implementieren, Opt-out-Rechte berücksichtigen und auf auditierbare Modellarchitekturen setzen.

Gleichzeitig zeigt die Praxis, dass allein technische Schutzmaßnahmen nicht ausreichen. Es bedarf zudem klar definierter und nachvollziehbarer Prozesse zur Prüfung und Protokollierung sensibler Dateninhalte. Die automatisierte Identifikation besonders geschützter Datenkategorien in großen, heterogenen Datenbeständen bleibt eine erhebliche Herausforderung. Der hohe Kontextbezug und die Vielfalt der Datenformate erschweren eine eindeutige Klassifizierung. Vollständig automatisierte Lösungen sind bislang kaum realistisch, weshalb häufig manuelle Kontrollen oder risikobasierte Stichproben notwendig sind. Dies führt zu einem erheblichen Mehraufwand und stellt insbesondere kleinere Legal-Tech-Anbieter vor große Herausforderungen.

Insgesamt fordert die Entscheidung somit eine verantwortungsvolle Balance zwischen Innovationsfreiheit und Datenschutz ein – ein unverzichtbarer Baustein für nachhaltige Legal-Tech-Innovationen.

Daina Böther-Schultze
Co-Head of Lab / Head of Content

Daina arbeitet als Legal Tech Engineer bei einer Großkanzlei in Düsseldorf. Ihre Begeisterung für Legal Tech vertiefte sie während ihres LL.M.-Studiums, das ihr fundiertes Wissen über die Schnittstelle von Recht und Technologie erweiterte. Zusätzlich engagiert sie sich als stellvertretende Vorstandsvorsitzende des Legal Tech Labs und teilt ihr Fachwissen regelmäßig durch Blogbeiträge.