Kölner Urteil: Meta darf auch sensible Daten fürs KI-Training verwenden

Ende Mai enttäuschte das Oberlandesgericht (OLG) Köln Experten mit seiner Ansage, dass Meta die Daten aller volljährigen europäischen Nutzer von Facebook und Instagram für das Training eigener KI-Anwendungen wie dem großen Sprachmodell LLaMA nutzen darf. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider etwa kritisierte die Eilentscheidung als „unfassbar“. Weiter verärgern dürfte die Hüter der Privatsphäre nun, dass Meta und andere Betreiber sozialer Netzwerke selbst sensible Daten wie Gesundheitsinformationen oder Angaben zu politischen, religiösen oder sexuellen Einstellungen für legitime Zwecke wie das Anlernen von KI-Systemen verwenden dürfen.

Die Datenschutz-Grundverordnung (DSGVO) enthält prinzipiell in Artikel 9 ein Verbot der Verarbeitung sensibler personenbezogener Informationen. Doch dieses wird von einem langen Ausnahmekatalog eingeschränkt. Demnach greift die Untersagung etwa nicht, wenn die betroffene Person heikle Daten selbst „offensichtlich öffentlich gemacht“ hat.

Laut der jetzt veröffentlichten Urteilsbegründung sieht das OLG diese Vorgabe erfüllt, wenn ein Nutzer einschlägige Informationen über sich in sein öffentliches Nutzerkonto eines Social-Media-Dienstes einstellt oder in einem öffentlichen Posting teilt (Az.: 15 UKl 2/25). Dem durchschnittlichen User müsse in einem solchen Fall bewusst sein, „dass diese Daten von jedermann zur Kenntnis genommen werden können und sogar mittels Suchmaschinen auffindbar sind“.

Auch Daten Dritter sind kein Problem

Sogar wenn sensible Informationen Dritter betroffen sind, unterliegen diese laut den Kölner Richtern nicht dem Verbot nach Artikel 19 DSGVO. Sie gehen davon aus, dass die Untersagung im konkreten Fall einer „Aktivierung“ durch einen Antrag des betroffenen Dritten auf Herausnahme seiner Daten aus dem veröffentlichten Beitrag beziehungsweise aus dem Trainingsdatensatz bedürfte. Ganz sicher ist sich der 15. Zivilsenat hier aber nicht. Er deutet an, diese Frage dem Europäischen Gerichtshof (EuGH) vorlegen zu wollen, sollte es zu einem Hauptsacheverfahren kommen.

Das OLG begründet seine Ansicht damit, dass der europäische Gesetzgeber in der KI-Verordnung die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ausdrücklich anerkannt habe. Dabei sei seit Längerem bekannt, dass Firmen Webscraping zum Gewinnen von KI-Trainingsdaten nutzten. Das berge stets die Gefahr der – unbeabsichtigten und nicht zielgerichteten – Verarbeitung sensibler Daten. Mit dem AI Act verfolge die Politik auch das Ziel, eine „Vorreiterrolle“ der EU bei generativer Künstlicher Intelligenz zu erlangen.

Deidentifizierung statt Anonymisierung

Der von der Verbraucherzentrale NRW verklagte Social-Media-Betreiber hat laut dem Urteil auch glaubhaft gemacht, „Maßnahmen zu Deidentifizierung der Datensätze vorzunehmen“. Vollständige Namen, E-Mail-Adressen, Telefonnummern, nationale Identifikationsnummern, Benutzerkennungen, Kredit-/Debitkartennummern, Bankkonten, Fahrzeugkennzeichen, IP-Adressen und Postanschriften würden nur in unstrukturierter Form und „tokenisiert“ zusammengestellt. Damit sei zwar keine Anonymisierung verbunden. Insbesondere würden die Gesichter der auf Fotos erkennbaren Personen nicht verborgen. Trotzdem steht für den Senat außer Zweifel, dass dieses Vorgehen „insgesamt das entsprechende Risiko mindern wird“.

Valentino Halim, Rechtsanwalt bei der Wirtschaftskanzlei Oppenhoff, begrüßte gegenüber heise online die „unternehmensfreundliche und KI-Technologien ‚ermöglichende‘ Entscheidung“. Die Begründung des Gerichts sei in Teilen durchaus überraschend. Es bleibe abzuwarten, ob der EuGH „die enge Interpretation des Verarbeitungsverbots für sensitive Daten in einem etwaigen Vorlageverfahren mittragen“ würde. Daten- und Verbraucherschützer mahnen Nutzer, von ihrem Widerspruchsrecht Gebrauch zu machen.

(olb)