Oberlandesgericht Köln, 15 UKl 2/25

Gründe:

Mit seinem vorliegenden Antrag auf Erlass einer einstweiligen Verfügung nach dem Unterlassungsklagengesetz begehrt der Verfügungskläger, es der Verfügungsbeklagten zu untersagen, von Verbrauchern auf den Diensten Facebook und Instagram veröffentlichte personenbezogene Daten zur Entwicklung und Verbesserung von Systemen künstlicher Intelligenz (im Folgenden KI) zu verarbeiten.

Der Verfügungskläger ist ein am Amtsgericht Düsseldorf unter der Nummer VR 4130 eingetragener gemeinnütziger Verein zur Wahrnehmung kollektiver Verbraucherinteressen in Nordrhein-Westfalen mit Sitz in Düsseldorf. Der Verfügungskläger ist in die Liste qualifizierter Einrichtungen im Sinne von § 4 UKlaG eingetragen.

Die Verfügungsbeklagte ist eine Tochtergesellschaft der Meta Platforms, Inc. mit Sitz in den Vereinigten Staaten von Amerika. Sie betreibt in Europa auf den Webseiten „www.instagram.com" und „www.facebook.com" sowie als Apps für Mobilgeräte die gleichlautenden sozialen Netzwerke „Instagram“ und „Facebook“.

Die Verfügungsbeklagte kündigte mit Pressemitteilung vom 14. April 2025 an, auf ihren Social Media-Diensten Facebook und Instagram durch die volljährigen Nutzer öffentlich eingestellte Daten (sog. First Party Data) sowie die Interaktionen dieser Nutzer mit dem KI-Modell der Verfügungsbeklagten (sog. Flywheel-Daten) ab dem 27. Mai 2025 zum Training des von ihr entwickelten KI-Modells nutzen zu wollen. Dies betrifft insbesondere Profilbilder, Aktivitäten in öffentlichen Gruppen, auf Facebook-Seiten und Kanälen, Aktivitäten mit Inhalten, die öffentlich sind, wie Kommentare, Bewertungen, Rezension auf Marketplace oder auf einem öffentlichen Instagram-Konto eingestellte Avatare, Fotos, Videos und Audios samt dazugehöriger Metadaten, jeweils sofern als öffentlich geteilt.

Bereits im März 2024 hatte die Verfügungsbeklagte die für sie zuständige irische Datenschutzbehörde (im Folgenden: DPC) informiert, das von ihr entwickelte KI-Modell („Large Language Model“) mit den Daten ihrer volljährigen Nutzer aus der EU/EWR trainieren zu wollen. Hierüber hatte die Verfügungsbeklagte mit Pressemitteilung vom 10. Juni 2024 auch ihre Nutzer informiert und einen Beginn des Trainings ab dem 26. Juni 2024 angegeben. Nachdem hiergegen u.a. die DPC, aber etwa auch der Verfügungskläger (mittels einer Abmahnung) Bedenken erhoben hatte, hatte die Verfügungsbeklagte ihre Nutzer sodann davon informiert, „aufgrund des Feedbacks von Aufsichtsbehörden“ ihre Pläne zur Verwendung der Nutzerdaten zum Training der KI zu „verschieben“ und nähere Informationen bereitzustellen, wenn die entsprechende Verwendung der Daten aufgenommen werde.

Die DPC hatte daraufhin am 4. September 2024 gemäß Art. 64 DSGVO den Europäischen Datenschutzausschuss (im Folgenden: Ausschuss) um eine Stellungnahme in Bezug auf KI-Modelle und die Verarbeitung personenbezogener Daten ersucht. Damit hatte sie u.a. die Herstellung einer europaweit klaren und harmonisierten Rechtslage bezweckt. Aus der Stellungnahme des Ausschusses ergibt sich, dass dessen Vorsitz, nachdem ihm am 16. September 2024 die Akte vorlag, gemäß Art. 64 Abs. 3 DSGVO angesichts der Komplexität der Materie beschloss, die gesetzliche achtwöchige Frist zur Annahme der Stellungnahme durch die Mitglieder des Ausschusses zu verlängern. Am 17. Dezember 2024 wurde die Stellungnahme schließlich durch die Mitglieder des Ausschusses angenommen.

Im Hinblick auf diese Stellungnahme wandte sich die Verfügungsbeklagte mit einem aktualisierten Konzept an die DPC, um mit dem Training ihres Models am 27. Mai 2025 beginnen zu können. Nach einer Prüfung und Einholung eines „Feedback“ der anderen EU/EWR-Aufsichtsbehörden erteilte die DPC der Verfügungsbeklagten weitere Empfehlungen zur Wahrung der Datenschutzrechte der Betroffenen, auf die die Verfügungsbeklagte reagierte und Maßnahmen zur Abschwächung der Eingriffsintensität implementierte. Hierzu gehören insbesondere ein Widerspruchsrecht sowie Maßnahmen zur Deidentifizierung der in den Trainingsdatensatz eingebrachten Daten.

Die DPC verbot die entsprechende Datenverarbeitung daraufhin nicht, sondern beauftragte die Verfügungsbeklagte, im Oktober 2025 unter anderem über die Wirksamkeit und Angemessenheit der von ihr ergriffenen Maßnahmen zu berichten.

Nachdem eine Abmahnung vom 30. April 2025 erfolglos blieb, hat der Verfügungskläger am 12. Mai 2025 die Untersagung der beabsichtigten Datenverarbeitung allein bezogen auf sog. First Party Data vor dem Oberlandesgericht beantragt.

Der Verfügungskläger ist der Ansicht, die Verfügungsbeklagte habe nicht nachgewiesen, dass das beabsichtigte Training der KI mit Nutzerdaten erforderlich und angemessen im Sinne des Art. 6 Abs. 1 lit f) DSGVO sei. Ferner verstoße die beabsichtigte Datenverarbeitung gegen das Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO. Er behauptet, die aufgezeigten Maßnahmen der Verfügungsbeklagten zur Abschwächung des Eingriffs würden bereits keine hinreichende praktische Wirksamkeit entfalten. Im Übrigen rügt der Verfügungskläger einen angeblichen Verstoß der angekündigten Datenverarbeitung gegen Art. 5 Abs. 2 DMA.

Der Verfügungskläger hat – nach Umstellungen seines Antrags – zuletzt beantragt,

der Verfügungsbeklagten im Wege der einstweiligen Verfügung bei Vermeidung eines vom Gericht für jeden Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 EUR und für den Fall, dass dieses nicht beigetrieben werden kann, einer Ordnungshaft oder einer Ordnungshaft bis zu sechs Monaten, diese zu vollziehen an ihren gesetzlichen Vertretern,

zu untersagen,

im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern von diesen auf den Diensten Facebook und Instagram veröffentlichte personenbezogene Daten auf Grundlage des berechtigten Interesses zur Entwicklung und Verbesserung von Systemen künstlicher Intelligenz zu verarbeiten,

wenn dies geschieht, wie in Anlage ASt 2 angekündigt und in Anlage ASt 3 - 4

dargestellt,

hilfsweise, es der Verfügungsbeklagten zu untersagen, im Rahmen geschäftlicher Handlungen gegenüber Verbrauchern personenbezogene Daten aus dem Plattformdienst Facebook mit personenbezogenen Daten aus dem Plattformdienst Instagram zur Entwicklung und Verbesserung von Systemen künstlicher Intelligenz ohne wirksame Einwilligung der Endnutzer zusammenzuführen,

wenn dies geschieht wie in der Anlage AST 2 angekündigt.

Die Verfügungsbeklagte beantragt,

den Antrag zurückzuweisen.

Die Verfügungsbeklagte behauptet, ihr stünden für das Training ihres KI-Modells keine gleich geeigneten, weniger in die Rechte der Betroffenen eingreifenden Verarbeitungsmöglichkeiten zur Verfügung. Die Nutzerdaten würden insbesondere benötigt, um die KI an regionalen Gepflogenheiten optimiert zu trainieren. Sie ist der Ansicht, bezogen auf die von ihr verwendeten Daten seien die von ihr ergriffenen Maßnahmen geeignet, den Eingriff in die Rechte der Betroffenen so weit abzuschwächen, dass die Datenverarbeitung nach Art. 6 Abs. 1 lit f) gerechtfertigt sei. Zudem verstoße das beabsichtigte Training der KI nicht gegen Art. 9 Abs. 1 DSGVO.

Die Verfügungsbeklagte ist ferner der Ansicht, die Einbringung der Daten sowohl aus dem Social Media-Dienst Facebook als auch aus dem Social Media-Dienst Instagram in einen Trainingsdatensatz sei kein „Zusammenführen“ von Daten im Sinne des Art. 5 Abs. 2 DMA. Hierzu verweist sie auf eine – aufgrund noch gegebener Vertraulichkeit – lediglich auszugsweise vorgelegte Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091). Überdies sei der Verfügungskläger bezüglich „DMA-Verstößen“ nicht klagebefugt.

II.

Der zulässige Antrag ist unbegründet.

1. Der Antrag ist zulässig.

a) Der Verfügungskläger ist berechtigt, einen etwaigen Verstoß gegen die DSGVO im Wege der Verbandsklage geltend zu machen (§ 2 Abs. 1 i.V.m. § 2 Abs. 2 Nr. 13 UKlaG).

Ferner ist der Verfügungskläger gemäß § 2 Abs. 2 Nr. 56 UKlaG grundsätzlich berechtigt, einen etwaigen Verstoß gegen Vorschriften der Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte; im Folgenden: DMA) im Wege der Verbandsklage geltend zu machen (vgl. Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 564).

Anhaltspunkte dafür, dass eine private Rechtsdurchsetzung hinter einer Durchsetzung der Kommission zurücktreten müsste, bestehen – anders als die Verfügungsbeklagte anführt – insoweit nicht.

In Art. 42 DMA wird unter der Überschrift „Verbandsklagen“ für Zuwiderhandlungen von Torwächtern ausdrücklich auf Verbandsklagen verwiesen und die Verbandsklagerichtlinie (Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates) für anwendbar erklärt. Ziel war es insoweit, dass Verbraucher ihre Rechte im Zusammenhang mit den gemäß des DMA für Torwächter geltenden Verpflichtungen im Wege von Verbandsklagen nach der Verbandsklagerichtlinie durchsetzen können (Erwägungsgrund 104 des DMA; vgl. auch: Köhler u.a., UWG, 2025, § 2 UKlaG Rn. 13; Baetge in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 78; Brüggemann, WuW 2025, 183, 184 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 274). Im Anhang der Verbandsklagerichtlinie wurde entsprechend der Anordnung in Art. 52 DMA korrespondierend auf den DMA verwiesen. Mit der Aufzählung in § 2 Abs. 2 UKlaG hat der (deutsche) Gesetzgeber das Ziel verfolgt, zur Umsetzung der Verbandsklagerichtlinie alle in deren Anhang aufgeführten EU-Verordnungen und die Vorschriften zur Umsetzung der dort aufgeführten Richtlinienbestimmungen zu erfassen, soweit nicht § 1 UKlaG oder § 8 Absatz 1 UWG einschlägig sind (BT-Drucks 145/23, S. 125).

Ob die Vorschrift des Art. 5 Abs. 2 DMA jedenfalls im konkreten Fall unmittelbare Rechte für Endnutzer begründen kann, die sich darauf in privater Rechtsdurchsetzung berufen können (vgl. hierzu: Brüggemann, WuW 2025, 183, 186 sowie 187 f.; Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 273), lässt der Senat offen, da die von der Verfügungsbeklagten angekündigte Datenverarbeitung aus den unter Ziffer 2 Buchstabe a genannten Gründen nicht gegen Art. 5 Abs. 2 DMA verstößt.

b) Mit der Bezugnahme des § 5 UKlaG auf § 12 Abs. 1 UWG ist klargestellt, dass einstweiliger Rechtsschutz im Anwendungsbereich des Unterlassungsklagengesetzes möglich ist (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 57). Damit ist auch vorbeugender Rechtsschutz möglich (vgl. B., in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, Vor § 935 Rn. 32).

c) Das Oberlandesgericht Köln ist als Gericht der Hauptsache auch für den Eilrechtsschutz zuständig (§ 937 ZPO, § 5 UKlaG).

aa) Die internationale Zuständigkeit deutscher Gerichte in der Hauptsache ergibt sich im Hinblick auf einen Verstoß gegen die DSGVO aus Art. 79 Abs. 2 DSGVO. Der Verfügungskläger macht als qualifizierte Einrichtung im Sinne des Art. 80 Abs. 2 DSGVO die Verletzung von Rechten betroffener Personen im Sinne von Art. 4 Nr.1 DSGVO mit gewöhnlichem Aufenthalt in Deutschland geltend (vgl. BGH, Urteil vom 19. November 2024 - VI ZR 10/24 -, juris, Rn. 20).

bb) Im Hinblick auf einen etwaigen Verstoß gegen Art. 5 Abs. 2 DMA ergibt sich die internationale Zuständigkeit deutscher Gerichte in der Hauptsache aus Art. 7 Nr. 2 EUGVO, da die beanstandete Datenverarbeitung bestimmungsgemäß Daten von Nutzern in Deutschland betrifft (vgl. D. Baetge, in: Herberger u.a., jurisPK-BGB, 07.01.2025, § 2 UKlG Rn. 113; A. Baetge in: Herberger u.a., jurisPK-BGB, 12.09.2023, § 6 UKlaG Rn. 6).

cc) Das Oberlandesgericht Köln ist nach § 6 Abs. 1 S. 2 Nr. 2 UKlaG in der Hauptsache sachlich und örtlich zuständig. Da unbestritten geblieben ist, dass die Verfügungsbeklagte über keine gewerbliche Niederlassung bzw. keinen Gesellschaftssitz in Deutschland verfügt und ein Verstoß durch die beabsichtigte Datenverarbeitung jedenfalls auch im Bezirk des Oberlandesgerichts Köln eintreten würde, ist eine Zuständigkeit des Gerichts gegeben.

2. Der Antrag ist nicht begründet.

Es besteht bereits kein Verfügungsanspruch. Auf Grundlage der im einstweiligen Verfügungsverfahren gebotenen (OLG Köln, Beschluss vom 5. Juli 2024 – I-5 W 33/24 –, juris, Rn. 29; OLG Hamm, Beschluss vom 11. Dezember 2024 – I-30 U 40/24 –, juris, Rn. 95; OLG Koblenz, Urteil vom 12. September 2007 – 1 U 223/07 –, juris, Rn. 14) summarischen Prüfung vermag der Senat keinen Unterlassungsanspruch aus § 2 UKlaG im Hinblick auf die – nach Klarstellung des Antrags durch den Verfügungskläger allein verfahrensgegenständlichen – First Party Data festzustellen.

a) Die Verfügungsbeklagte verstößt durch die Einbringung von Daten aus dem Social Media-Angebot Facebook und dem Social Media-Angebot Instagram in einen einheitlichen Datensatz zum Training ihrer KI nicht gegen ihre Pflichten aus Art. 5 Abs. 2 UAbs. 1 lit b) DMA, da sie diese Daten hierdurch nicht im Rechtssinne „zusammenführt“.

aa) Die Verfügungsbeklagte ist unstreitig ein „Torwächter“ im Sinne des Art. 5 Abs. 2 i.V.m. Art. 1 Ziffer 1 DMA. Sowohl bei dem Social Media-Angebot Facebook als auch bei dem Social Media-Angebot Instagram handelt es sich unstreitig um zentrale Plattformdienste der Verfügungsbeklagten.

bb) Nach Art. 5 Abs. 2 UAbs. 1 lit b) DMA darf ein Torwächter personenbezogene Daten aus dem betreffenden zentralen Plattformdienst nicht mit personenbezogenen Daten aus weiteren zentralen Plattformdiensten oder aus anderen vom Torwächter bereitgestellten Diensten oder mit personenbezogenen Daten aus Diensten Dritter zusammenführen. Damit wird ein Verbot jeglicher Zusammenführung statuiert (Podszun, in: Podszun, DMA, 2023, § 5 Rn. 17; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 23).

Der Begriff der „Zusammenführung“ ist im DMA (und auch in der DSGVO) nicht legal definiert (vgl. Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Der Senat, der im Eilverfahren weder die Möglichkeit der Einholung einer Stellungnahme der Kommission (Art. 39 Abs. 1 DMA) noch der Vorlage an den Europäischen Gerichtshof hatte, geht davon aus, dass die von der Verfügungsbeklagten angekündigte Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei zentralen Plattformdiensten in einen unstrukturierten Trainingsdatensatz für eine KI keine Zusammenführung im Sinne des Art. 5 Abs. 2 UAbs. 1 lit b) DMA ist. Es fehlt an der gezielten Verknüpfung von personenbezogenen Daten eines Nutzers aus einem zentralen Plattformdienst mit personenbezogenen Daten desselben Nutzers aus dem anderen zentralen Plattformdienst. Auf Art. 5 Abs. 2 UAbs. 1 lit c) DMA hat sich der Verfügungskläger nicht berufen.

Der Senat verkennt nicht, dass im deutschen Schrifttum teilweise vertreten wird (Hacker, GRUR 2022, 1278, 1279; Wielsch, in: Mast u.a., DSA, DMA, 2024, Art. 5 Abs. 2 DMA Rn. 60), dass die die Verbindung von Datensätzen aus Plattformdiensten zum verbesserten Training von KI eine „Zusammenführung“ im genannten Sinne darstellen soll. Hierfür spricht, dass der spezifische Nutzen der besonderen Möglichkeit, Daten zu aggregieren und damit „Verbundvorteile“ (Becker in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 94; zu Verbundvorteilen bei der KI-Anwendungen, vgl. KönigBorges/Keil, Rechtshandbuch Big Data, 2024, Rn. 9) zu erzielen, bei einer solchen Datennutzung thematisiert ist. Die Ausnutzung solcher Vorteile soll von Art. 5 Abs. 2 DMA verhindert werden (vgl. Erwägungsgrund 36 zum DMA).

Dennoch sprechen aus Sicht des Senats überwiegende Gründe gegen die Annahme, dass eine bloße Einbringung von teilweise deidentifizierten und zerlegten Daten aus zwei Plattformdiensten in einen KI-Trainingsdatensatz bereits als Zusammenführung im Rechtssinne gewertet werden kann. Die bloße Einschlägigkeit des Schutzzwecks bedeutet noch nicht, dass der Fall von der Norm auch erfasst wird. Insbesondere enthält Art. 5 DMA gerade keine Generalklausel, sondern eine „erschöpfende Enumeration“ (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 13) von Tatbeständen, um die Durchsetzung der Regelungen zu erleichtern und die Rechtssicherheit zu erhöhen (aaO, Rn. 13). Insoweit kommt es darauf an, ob gerade der hier zu entscheidende Fall durch Art. 5 Abs. 2 UAbs. 1 lit b) DMA normiert ist.

Erforderlich ist insoweit eine gezielte Verbindung von Daten gerade derselben Person (so auch: Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 96). Unbehelflich mag insoweit noch ein Abgleich mit der englischen Sprachfassung des Art. 5 Abs. 2 UAbs. 1 lit b) DMA sein. Soweit dort von „combining“ die Rede ist, kann hierunter sowohl ein bloßes Zusammenfassen von personenbezogenen Daten aus zwei zentralen Plattformdiensten in einem Datensatz als auch eine gezielte „Kombination“ gerade von Daten ein- und derselben Person gefasst werden. Auch der insoweit maßgebliche Erwägungsgrund 36 der DMA gibt keine Hinweise. Insbesondere ist dem Erwägungsgrund ein spezifischer Zweck, die Verbindung von Daten im Rahmen des Trainings von KI-Systemen einzuschränken, nicht zu entnehmen. Es ist, worauf die Verfügungsbeklagte in der mündlichen Verhandlung mit Recht hingewiesen hat, nicht ersichtlich, dass dem Gesetzgeber bei Schaffung des Art. 5 Abs. 2 DMA die spezifischen Fragen im Zusammenhang mit Datenverarbeitungen zum Zwecke der Entwicklung und Verbesserung von Systemen künstlicher Intelligenz vor Augen gestanden haben. Mit der vom Senat vertretenen Auslegung der Vorschrift steht es ferner in Einklang, dass in einer Entscheidung der Kommission vom 23. April 2025 (C(2025) 2091) ausdrücklich darauf verwiesen wird, dass das Zusammenführen Daten derselben Person betrifft. Dort heißt es:

Die Entscheidung enthält an dieser Stelle ein Bild oder eine Grafik.

Wenngleich sich aus dieser Entscheidung, die dem Senat durch die Verfügungsbeklagte aufgrund einer vor Veröffentlichung durch die Kommission bestehenden Vertraulichkeit nicht vollständig vorgelegt werden konnte, keine Hinweise – in die eine oder andere Richtung – ergeben, ob diese Begriffsbestimmung abschließend zu verstehen ist, sprechen für ein solches Verständnis im Sinne eines Schutzes vor der Erstellung von Nutzerprofilen die besseren Gründe. Aus der Gesetzeshistorie folgt, dass Art. 5 Abs. 2 UAbs. 1 lit a) und b) DMA insbesondere die in dem Facebook-Verfahren des Bundeskartellamtes (vgl. hierzu die erst nach Erlass der DMA ergangene Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (Az. C-252/21)) zugrundeliegende Konstellation einer plattformübergreifenden „Personalisierung mittels Datenzusammenführung“ zugrunde liegt (Bueren/Weck, in: Münchener Kommentar zum Wettbewerbsrecht, 2023, Art. 5 DMA Rn. 59 und 80; Louven, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 01.08.2023, Art. 5 Rn. 17; Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925 Rn. 72). Dies spricht dafür, dass ein „Zusammenführen“ von Daten allein im Fall ihrer Verbindung im Rahmen von Nutzerprofilen, nicht aber bei ihrer – wie hier – nicht näher zugeordneten und sogar deidentifizierten Einbringung in ein einheitliches „Datensilo“ anzunehmen ist. Nur bei dem erstgenannten Verständnis erklärt sich auch die Möglichkeit der betroffenen Nutzer, in eine Zusammenführung einzuwilligen (vgl. auch Göhsl/Zimmer, in: Immenga/Mestmäcker, Wettbewerbsrecht, 2025, Art. 5 DMA Rn. 31). Nach Art. 5 Abs. 2 DMA ist die Zusammenführung der Daten rechtmäßig, wenn „dem Endnutzer“ die spezifische Wahl gegeben wurde und „er“ eingewilligt hat. Die Vorschrift geht also davon aus, dass ein Endnutzer in die Zusammenführung von Daten aus mehreren Quellen einwilligt und die Zusammenführung dann rechtmäßig ist. Auch daran zeigt sich, dass die Vorschrift auf den Fall der gezielten Verknüpfung von Daten ein und desselben Nutzers zugeschnitten ist.

b) Der Senat vermag ferner nicht festzustellen, dass die von der Verfügungsbeklagten beabsichtigte und von dem Verfügungskläger angegriffene Verarbeitung personenbezogener Daten nicht rechtmäßig (Art. 5 Abs. 1 lit a) DSGVO) wäre und damit Datenschutzrecht verletzen würde.

aa) Die datenschutzrechtlichen Anforderungen werden durch die – zwar in Kraft getretene, aber ohnehin noch nicht vollständig anwendbare (vgl. Art. 113 der Verordnung) – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz; im Folgenden: KI-VO) nicht verdrängt. Nach deren Art. 2 Abs. 7 S. 2 berührt die KI-VO die DSGVO grundsätzlich nicht (vgl. im Einzelnen etwa Schwartmann/Keber/Köhler in: Schwartmann u.a., DSGVO, 2024, Anhang 3 Rn. 37 ff.; Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, 3. Kapitel Rn. 3; Golland, EuZW 2024, 846, 853).

Gleiches gilt für eine etwaige Verdrängung der DSGVO durch Art. 5 Abs. 2 DMA. Dieser verdrängt die Regelungen aus der DSGVO nicht, beide Regelungsmaterien gelten parallel (Hornkohl in: Jaeger u.a., FK Kartellrecht, 2/2025, Art. 5 EUV 2022/1925, Rn. 86; Podszun in: Podszun, DMA, Art. 5 Abs. 2 Rn. 31.).

bb) Die Verfügungsbeklagte beabsichtigt im Rahmen des Trainings der von ihr entwickelten KI Nutzerdaten und damit – was sie selbst auch nicht in Abrede stellt – personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu nutzen. Insoweit verarbeitet die Verfügungsbeklagte als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO personenbezogene Daten (mit gleichem Ergebnis für eine solche Konstellation auch: Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 4 EUV 2016/679, Rn. 54a; Golland, EuZW 2024, 846, 847; Hüger, ZfDR 2024, 263, 267; Dieker, ZD 2024, 132, 133; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 10 ff.).

cc) Die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung ist bei summarischer Prüfung allerdings rechtmäßig, da sie sich, was entscheidend ist, da andere Rechtsgrundlagen nicht ersichtlich sind, auf den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit f) DSGVO stützen kann.

aaa) Speziellere, Art. 6 Abs. 1 S. 1 lit f) DSGVO verdrängende Rechtsgrundlagen zum Training von KI mittels Nutzerdaten ergeben sich insbesondere nicht aus der KI-VO (vgl. insoweit Erwägungsgrund 63, S. 3 zur KI-VO; hierzu auch: Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 288; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a). Auch aus der DSGVO ergeben sich keine vorrangigen Rechtsgrundlagen. Soweit in der Literatur gelegentlich Art. 6 Abs. 4 DSGVO für Datenverarbeitungen im Bereich der KI-Trainings herangezogen wird (vgl. die – kritische – Darstellung - bei Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 307 und Schulz, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 6 Rn. 152), hat sich die Verfügungsbeklagte hierauf bereits nicht berufen. Art. 6 Abs. 4 DSGVO bietet richtigerweise zudem bereits keinen eigenen Erlaubnistatbestand (so wohl: EuGH, Urteil vom 21. Dezember 2023 - C-667/21 – juris, Rn. 75; aus der Literatur vgl. Schwartmann/Mühlenbeck/Pieper in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 239 mit Nachweisen zur Gegenauffassung; Heberlein, in: Ehmann/Selmayr, DSGVO, 2024, Art. 6 Rn. 69; Albers/Veit, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK, Datenschutzrecht, 01.02.2025, Art. 6 Rn. 107 f.).

bbb) Bei einer summarischen Prüfung ist die streitgegenständliche Datenverarbeitung zur Wahrung der berechtigten Interessen der Verfügungsbeklagten erforderlich und überwiegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, nicht.

Aus der Rechtsprechung des Europäischen Gerichtshofs (vgl. etwa EuGH, Urteil vom 4.- Juli 2023 – C-252/21 – Rn. 106) ergibt sich folgende Prüfungstrias: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.

Auf dieser Grundlage vermag der Senat auf Basis einer summarischen Prüfung nicht festzustellen, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO die von der Verfügungsbeklagten beabsichtigte Datenverarbeitung nicht zu rechtfertigen vermag.

ccc) Die Verfügungsbeklagte verfolgt mit dem Training einer von ihr entwickelten KI mit den von ihren Nutzern in deren Nutzerkonten veröffentlichen Daten ein berechtigtes Interesse.

(1.) Als berechtigte Interessen kommen neben rechtlichen und ideellen insbesondere auch wirtschaftliche Belange in Betracht (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 47; Hüger, ZfdR 2024, 263, 272). In seiner Stellungnahme vom 17. Dezember 2024 hat der Ausschuss Art. 6 Abs. 1 S. 1 lit f) DSGVO auf dieser Basis als taugliche Grundlage angesehen, KI-Modell mit Datensätzen, die personenbezogene Daten enthalten, zu trainieren und hat das entsprechende Interesse damit als berechtigt angesehen. Diese Auffassung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in der mündlichen Verhandlung am 22. Mai 2025 geteilt (entsprechend der ganz h.M. so etwa auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 21: „regelmäßig anzunehmen“; Schaffland/Holthaus in: Schaffland/Wiltfang, DSGVO, 2025, Art. 6 EUV 2016/679, Rn. 119a; Keber, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 28; Golland, EuZW 2024, 846, 849; Dieker, ZD 2024, 132, 134).

(2.) Erforderlich ist weiter, dass das Interesse hinreichend klar und präzise formuliert und real und gegenwärtig und nicht bloß spekulativ ist (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 49).

Diese Voraussetzungen sind auf Basis einer summarischen Prüfung erfüllt.

Die Verfügungsbeklagte hat beschrieben, die Möglichkeiten generativer KI nutzen zu wollen, um einen Gesprächsassistenten bereitzustellen, der etwa Antworten in Echtzeit für Chats, Hilfe bei der Organisation und Planung etwa eines Urlaubs bis hin zu Hilfen bei der Formulierung von Texten bietet. Hierzu soll die KI an regionale Gepflogenheiten angepasst werden. Zudem sollen Inhalte wie etwa Texte, Bilder und Audios erstellt werden können. Da die Verfügungsbeklagte mit dem entsprechenden Training zeitlich unmittelbar beginnen möchte, ist das entsprechend konkret beschriebene Interesse auch gegenwärtig und nicht bloß spekulativ.

(3.) Damit die Wahrnehmung dieses Interesses eine Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO rechtfertigen kann, ist ferner ist erforderlich, dass die Verfügungsbeklagte allen anderen, ihr obliegenden Pflichten aus der DSGVO nachkommt (EuGH, Urteil vom 4. Oktober 2024 – C-621/22 –, juris, Rn. 50).

Auf solche weiteren datenschutzrechtlichen Anforderungen, die im Rahmen des Trainings von KI-Modellen zu beachten sind (etwa: Grundsatz der Datenrichtigkeit, Art. 5 Abs. 1 lit d) DSGVO; Grundsatz der Zweckbindung, Art. 5 Abs. 1 lit b) DSGVO; Transparenzgrundsatz, Art. 5 Abs. 1 lit a) Var. 3 DSGVO und Art. 12 ff. DSGVO; vgl. Paal, ZfDR 2024, 129, 141 ff.), beziehen sich die Angriffe des Verfügungsklägers nicht im Schwerpunkt. Oftmals erscheint eine Beachtung auch noch im Rahmen des Betriebs der KI möglich. Unabhängig von einer Anwendbarkeit des Art. 14 Abs. 5 lit b) DSGVO ist den Transparenzerfordernissen (Art. 12 ff. DSGVO) durch die von der Verfügungsbeklagten umfangreich zur Verfügung gestellten Informationen (Anlage AG 8, 22 bis 29) Rechnung getragen. Ferner kommt es nicht darauf an, ob die Verfügungsbeklagte gegen eine – in Art. 83 Abs. 4 lit a) DSGVO allerdings bußgeldbewehrte – Pflicht zur Einholung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verstoßen hat. Diese ist – wie sich aus ihrer Stellung in Kapitel IV der DSGVO ergibt, dessen Anforderungen der Europäische Gerichthof nicht als Rechtmäßigkeitsvoraussetzungen der Datenschutzverordnung erachtet (EuGH, Urteil vom 4. Mai 2023 – C-60/22 -, juris, Rn. 62; Hansen, in: Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 01.02.2024, Art. 35 Rn. 76a) – keine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung (BSG, Urteil vom 20. Januar 2021 – B 1 KR 7/20 R –, juris, Rn. 84 mwN.; Karg, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2025, Art. 35 Rn. 104; Nolte/Werkmeister, in: Gola/Heckmann, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 2022, Art. 35 Rn. 74).

ddd) Die entsprechende Datenverarbeitung erweist sich bei einer summarischen Prüfung auch – unter gemeinsamer Prüfung mit dem Grundsatz der Datenminimierung nach Art. 5 Absatz 1 lit c) DSGVO (vgl. hierzu EuGH Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 109; EuGH, Urt. v. 9.1.2025 - Rs. C-394/23, Rn. 48f.) – als erforderlich.

Mit dieser Ansicht steht der Senat im Wesentlichen im Einklang mit der in der mündlichen Verhandlung am 22. Mai 2025 geschilderten Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der eine Erforderlichkeit im Grundsatz anerkannte und lediglich Zweifel hinsichtlich der Verwendung besonders eingriffsintensiver Daten äußerte (etwa Nummernschilder von Fahrzeugen, Kreditkartennummern).

Eine Datenverarbeitung ist erforderlich, wenn sie zur Erreichung des Interesses des Verarbeiters geeignet ist und es keine weniger in die Privatsphäre eingreifende Möglichkeit gibt, den entsprechenden Zweck zu erreichen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 108).

Hierfür ist – worauf der Verfügungskläger mit Recht hinweist – die Verfügungsbeklagte beweisbelastet (EuGH, Urteil vom 11. Juli 2024 - C-757/22 -, Rn. 52; OLG Stuttgart, Urteil vom 22. November 2023 - 4 U 20/23 -, juris, Rn. 182 ff). Die entsprechenden Verfahrensvorschriften ergeben sich mangels konkreter Regelungen im europäischen Recht aus dem nationalen Recht. § 5 UKlaG verweist insoweit auf die Zivilprozessordnung. Für die im Verfahren des einstweiligen Rechtsschutzes erforderliche Glaubhaftmachung besteht insoweit eine Abweichung vom Regelbeweismaß der vollen Überzeugung von der Wahrheit einer Tatsache. Es genügt, wenn ihr Vorliegen überwiegend wahrscheinlich ist, d.h., dass etwas mehr für das Vorliegen der Tatsache spricht als gegen sie (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 19; Kessen, aaO., § 935 Rn. 9). Ob das Beweismaß erreicht ist, beurteilt das Gericht in freier Würdigung (Kessen, in: Kessen/Tholen, KK-Vorläufiger Rechtsschutz, § 920 Rn. 21; Kessen, aaO., § 935 Rn. 9).

Nach diesen Maßstäben hat der Senat keine Zweifel, dass das Training der von der Verfügungsbeklagten entwickelten KI mit den Nutzerdaten geeignet ist, die aufgezeigten, mit ihm verfolgten Zwecke zu erreichen, d.h. eine generative KI optimiert an regionale Gepflogenheiten anzubieten und in die Dienste der Verfügungsbeklagten zu implementieren.

Im Hinblick auf weniger in die Privatsphäre eingreifende – aber gleich geeignete – Möglichkeiten der Zielerreichung hat zwar der Verfügungskläger entsprechend der Stellungnahme vom 17. Dezember 2024 des Ausschusses (Rn. 75; ähnlich auch: Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 22) auf die Möglichkeit des Trainings mittels anonymisierter oder sog. synthetischer Daten hingewiesen. Zudem hat der Verfügungskläger vorgetragen, die Verfügungsbeklagte könne das Training der KI auf sog. Flywheel-Daten beschränken. Ferner hat er vorgetragen, die Erforderlichkeit müsse hinsichtlich jedes einzelnen Datenpunktes gegeben sein. Angesichts der Vielzahl der für das Training der KI erhobenen Daten sei nicht dargetan, dass jeder einzelne Datenpunkt erforderlich sei.

Dennoch erscheint dem Senat der mittels eidesstattlicher Verfügung glaubhaft gemachte Vortrag der Verfügungsbeklagten, dass es

„keine andere sinnvolle Alternative für Meta [gibt], um seine Interessen ebenso wirksam mit anderen, milderen Mittel zu verfolgen und zu erreichen. Meta hat zur Zielerreichung verfügbare Alternativen geprüft [im übersetzten Original: „considered available alternative ways], die eine weniger intensive Nutzung personenbezogener Daten ermöglichen würden“

als überwiegend wahrscheinlich. Die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt (vgl. zu dem erforderlichen Einsatz von Massendaten aus dem juristischen Schrifttum etwa Paal, ZfDR 2024, 129, 141). Der Vortrag der Verfügungsbeklagten wird im Hinblick auf eine fehlende Möglichkeit zur Anonymisierung durch Stellungnahmen im juristischen Schrifttum bestätigt, die eine solche für unpraktikabel halten (vgl. Paal, ZfDR 2024, 129, 136; Dieker, ZD 2024, 132, 134; Schürmann ZD 2022, 316, 317). Im Hinblick auf den bloßen Einsatz von sog. Flywheel-Daten ist es kaum plausibel, dass die so zu erzielende, deutlich geringere Menge an Daten im Vergleich zu dem vorhandenen Datenbestand aus aktiven Nutzerkonten zu vergleichbaren Ergebnissen beim Training der KI führt. Das insoweit ein „minderwertiges Produkt“ entstehen würde, hat die Verfügungsbeklagte mit eidesstattlicher Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) ebenso glaubhaft gemacht, wie die fehlende Gleichwertigkeit des Rückgriffs auf synthetische Daten (eidesstattliche Versicherung vom 21. Mai 2025, Anlage AG 45). Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Eine Pflicht, die Erforderlichkeit bezüglich jedes Datenpunktes zu belegen, trifft die Verfügungsbeklagte nicht. Das Training einer KI erfordert die Verwendung von Massen von Daten zur Generierung von Mustern und Wahrscheinlichkeitsparametern (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Insoweit kommt dem einzelnen Datum im Zweifel kaum je ein messbarer Einfluss zu (vgl. insoweit Paal, ZfDR 2024, 129, 141: „Prüfung der Erforderlichkeit für jedes einzelne Datum weder zielführend noch praktikabel“). Der Senat geht – wie dargelegt – in Übereinstimmung mit dem Ausschuss und der ganz h.M. davon aus, dass Art. 6 Abs. 1 S. 1 lit f) DSGVO ein tauglicher Rechtfertigungsgrund für Datenverarbeitung zum Training von KI sein kann. Unmöglich zu erfüllende Anforderungen würden diese Annahme konterkarieren und dürfen nicht aufgestellt werden. Zwar werden in der Literatur teilweise Möglichkeiten diskutiert, die die Diskrepanz zwischen dem „Datenhunger“ des KI-Trainings und dem Grundsatz der Datenminimierung auflösen (vgl. insoweit Paal, ZfDR 2024, 129, 141 mwN). Im Rahmen der im Eilrechtsschutz zur Verfügung stehenden Erkenntnismöglichkeiten sieht der Senat aber keine hinreichend verlässlichen Alternativen. Soweit erwogen werden kann, den Grundsatz der Erforderlichkeit auf die Art der verarbeiteten Daten zu beziehen, also die Verarbeitung personenbezogener Daten möglichst zu meiden (vgl. Hüger, ZfDR 2024, 263, 273), hat die Verfügungsbeklagte glaubhaft gemacht, auf Methoden der Deidentifizierung der in den Trainingsdatensatz eingestellten Daten zurückzugreifen. Damit wird auch den geschilderten Bedenken des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Rechnung getragen. Soweit in der Literatur die häufig durchgeführte Form der Datensammlung durch Web-Scraping und Crawling als die „effektivste“ Form (Dieker, ZD 2024, 132,134) der Datensammlung angesehen wird, kommt es hierauf nicht an: Diese wäre mit deutlich erheblicheren Eingriffen in die Rechte der Betroffenen verbunden, da die von der Verfügungsbeklagten implementierten Abschwächungsmaßnahmen insoweit nicht greifen würden. Zudem beabsichtigt die Verfügungsbeklagte gerade ein Training mit „regionalen“ Daten, sodass diese Art der Datengewinnung nicht gleich geeignet wäre.

eee) Bei einer summarischen Prüfung vermag der Senat auch nicht festzustellen, dass die Interessen der Nutzer und der Drittbetroffenen am Schutz ihrer Daten gegenüber dem Interesse der Verfügungsbeklagten am Training der KI mit Nutzerdaten überwiegen.

Hauptsächliche Anknüpfungspunkte für die Abwägung sind, ob der Betroffene bei Erhebung der Daten vernünftigerweise mit einer entsprechenden Verarbeitung rechnen musste (Erwägungsgrund 47 S. 4 der DSGVO) und welche Folgen die Datenverarbeitung für die Betroffenen mit sich bringt (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 116), d.h. deren Eingriffsintensität.

aaaa) (1.) Im Hinblick auf die nicht im Einzelfall, sondern objektivierend und generalisierend zu betrachtenden (Schwartmann/Klein in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679 Rn. 162) Folgen der Datenverarbeitung für die Betroffenen ist entscheidungserheblich allein das Training der KI mit personenbezogenen Daten und dessen Folgen. Sonstige mögliche Rechtsverletzungen, die durch die spätere „Arbeit“ der KI entstehen können (etwa Desinformation, Manipulationen, sonstige schädliche Praktiken), sind derzeit nicht hinreichend absehbar und können gesondert verfolgt werden. Es ist jedenfalls fernliegend, dass diese Risiken sich so weit materialisieren, dass eine rechtmäßige Nutzung der KI unmöglich würde und letztlich die Geeignetheit der Datenverarbeitung in Frage stünde. Entscheidend ist damit der Eingriff der Datenverarbeitung in das jeweilige Grundrecht der Betroffenen auf Achtung ihres Privat- und Familienlebens aus Art. 8 EMRK bzw. Art. 7 GrCh sowie in ihr Recht auf Schutz ihrer personenbezogenen Daten gem. Art. 8 GrCh (vgl. EuGH, Urteil vom 4. Juli 2023 – C-252/21 –, juris, Rn. 108; zur Anwendbarkeit des europäischen Rechts vgl. BVerfG, Beschluss vom 6. November 2019 – 1 BvR 276/17 -, juris, Rn. 77, 95).

Da der Verfügungskläger ausschließlich die Untersagung der Nutzung von sog. First Party Data beantragt, beschränkt sich die durch den Senat zu prüfende Datenverarbeitung und damit der Eingriff in die Rechte der Betroffen auf die öffentlich gestellten Daten in den aktiven Nutzerkonten Volljähriger sowie von Institutionen (Schulen, Kindergärten, Vereine). Allerdings verkennt der Senat nicht, dass auch durch Volljährige und Institutionen Daten von Minderjährigen gepostet werden können, die dann in den Trainingsdatensatz eingehen. Zu denken ist dabei auch an sensible Daten, insbesondere Fotographien („Kinderfotos“). Insoweit hat der Senat den Aspekt des Minderjährigenschutzes trotz der Vorkehrungen der Verfügungsbeklagten zur Ausklammerung solcher Daten in seine Überlegungen einbezogen.

(2.) Durch die Beschränkung der Verarbeitung auf „öffentlich“ in den Nutzkonten eingestellte Daten sind allein personenbezogene Daten betroffen, die bereits zuvor für jedermann öffentlich einsehbar und auch mittels Suchmaschinen auffindbar waren. Letzteres wurde im Rahmen der mündlichen Verhandlung sowohl durch die Verfügungsbeklagte als auch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf ausdrückliche Nachfrage des Senats bestätigt. Ein Unterschied zwischen den Daten in den Nutzerkonten und allgemein im Internet verfügbaren Daten liegt allein in deren Verarbeitbarkeit für Zwecke des Web-Scrapings, das bei den Daten in den Nutzerkonten nicht ohne weiteres möglich ist. Insoweit beschränkt sich der Eingriff gerade durch die angegriffene Datenverarbeitung auf eine zusätzlich hinzukommende Art der Datenverarbeitung zur bislang erfolgten Verarbeitung. Aufgrund der bereits bestehenden Öffentlichkeit der Daten sind über den Eingriff in das Selbstbestimmungsrecht über die Verwendung der eigenen personenbezogenen Daten hinausgehende neue Nachteile durch eine Offenlegung der Daten, wie etwa soziale oder berufliche Konsequenzen, regelmäßig nicht zu befürchten. Hinzu kommt, dass KI-Systeme nicht mit einem „Datenarchiv“ gleichzusetzen sind, sondern regelmäßig allein aus Parametern für Wahrscheinlichkeitsberechnungen bestehen (Schwartmann/Köhler, in: Schwartmann u.a., KI-VO - Leitfaden, 2024, 2. Teil Kapitel 3 Rn. 9). Allerdings ist zu berücksichtigen, dass die Einstellung von personenbezogenen Daten in die KI ein rechtlich relevantes (zutreffend: Schwartmann/Köhler, RDV 2024, 316) Risiko der „Erinnerung“ (Pesch/Böhme, MMR 2023, 917 ff.) der KI an personenbezogene Daten und damit deren Rekonstruierbarkeit und Ausgabe dieser Daten bei der „Arbeit“ der KI birgt (vgl. Ausschuss vom 17. Dezember 2024, Rn. 35 ff.; Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 7 ff.; Schwartmann/Köhler, in: Schwartmann, KI-VO - Leitfaden, 2024, 2. Teil, Kapitel 3 Rn. 10).

Hinzu kommt die fehlende Erklärbarkeit, Transparenz und Funktionsweise großer generative KI-Modelle, die das Recht zur Selbstbestimmung der Betroffenen über ihre Daten beeinträchtigen kann (vgl. Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 25). Dieses Risiko erlangt eine besondere Bedeutung, weil die KI letztlich einer unabsehbaren Vielzahl von Nutzern zur Verfügung steht und in vielen Fällen sehr umfangreiche Datenbestände einzelner Personen betroffen sind (vgl. Paal, ZfDR 2024, 129, 152; vgl. auch Ausschuss vom 8. Oktober 2024, Rn. 41). Ferner ist insoweit zu berücksichtigen, dass eine spätere Löschung der Daten aus der KI nur eingeschränkt möglich ist und mit einem einmal erfolgten Training der KI die Verfügungsbeklagte ihr mit dem Training verfolgte Ziel der Erarbeitung eines Modells erreicht haben wird. Mit der Einschränkung des Löschungsrechts (Art. 17 DSGVO) wird ein zentrales Betroffenenrecht beeinträchtigt.

Der Senat hat im Rahmen des von dem Verfügungskläger geführten Verbandsklageverfahrens auch berücksichtigt, dass die Datennutzung personenbezogene Daten erheblicher Teile der deutschen Bevölkerung betrifft (die Antragsschrift, S. 33, spricht von circa 40 Millionen Nutzern von Facebook und 31 Millionen Nutzern von Instagram in Deutschland).

(3.) Ferner ist bei der Feststellung der Eingriffsintensität von Bedeutung, dass die Verfügungsbeklagte zahlreiche der Maßnahmen umgesetzt hat, die der Ausschuss in seiner Stellungnahme vom 17. Dezember 2024 (Rn. 96 ff.) empfohlen hat, um die mit dem Training einer KI mit Nutzerdaten verbundenen Eingriffe in die Rechte der Betroffenen abzuschwächen und in einen angemessenen Ausgleich mit dem Interesse des Verantwortlichen zu bringen.

(a) Die Verfügungsbeklagte hat durch eidesstattliche Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 18. Mai 2025 (Anlage AG 42) glaubhaft gemacht, Maßnahmen zu Deidentifizierung der Datensätze vorzunehmen (Entfernung von vollständigen Namen, E-Mail-Adressen, Telefonnummern, nationale Identifikationsnummern, Benutzerkennungen, Kredit-/Debitkartennummern, Bankkontonummern/Bankleitzahlen, Fahrzeugkennzeichen, IP-Adressen und Postanschriften) und diese in unstrukturierter Form und „tokenisiert“ zusammenzustellen. Unstreitig ist mit diesen Maßnahmen zwar keine Anonymisierung verbunden. Insbesondere werden die Gesichter der auf Fotographien erkennbaren Personen nicht verborgen, sodass insoweit eine Deidentifizierung faktisch nicht erfolgt. Obwohl damit nicht ausgeschlossen ist, dass im Einzelfall trotz der Deidentifizierung eine Identifizierung erfolgen kann, steht für den Senat außer Zweifel, dass diese Maßnahme insgesamt das entsprechende Risiko mindern wird.

(b) Die Verfügungsbeklagte hat ferner glaubhaft gemacht, technische, physische und organisatorische Maßnahmen ergriffen zu haben, um einen unberechtigten Zugriff auf die Trainingsdaten zu verhindern und sicherheitsrelevante Aktivitäten durch die Arbeit der KI festzustellen. Es ist jedenfalls hinreichend wahrscheinlich, dass diese Maßnahmen geeignet sind, etwaige Risiken zu mindern.

(c) Zudem stehen den Nutzern umfangreiche Möglichkeiten offen, die Aufnahme ihrer Daten in den Trainingsdatensatz zu verhindern. So hat die Verfügungsbeklagte unwidersprochen vorgetragen, dass bei Facebook die Möglichkeit besteht, sämtlichen Beiträgen – auch nachträglich – mittels einer einzelnen Anordnung in den Einstellungen den „öffentlichen“ Status zu entziehen, und dass bei Instagram die Möglichkeit besteht, dem Konto insgesamt den öffentlichen Status zu entziehen. Damit würde verhindert, dass die Daten in den Trainingsdatensatz eingehen. Der Senat verkennt nicht, dass dies für einen bestimmten Teil der Nutzer mit einer erheblichen und möglicherweise als unzumutbar empfundenen Einschränkung der eigenen Wahrnehmbarkeit für Dritte verbunden ist. Insoweit gewährt die Verfügungsbeklagte aber ergänzend die Möglichkeit, lediglich der Aufnahme der Daten in den Trainingsdatensatz zu widersprechen. Dies gibt dem durchschnittlichen Nutzer eine effektive Möglichkeit, eine Aufnahme ihrer personenbezogenen Daten in den Trainingsdatensatz zu verhindern.

Anderes als der Verfügungskläger meint, sieht der Senat keine relevanten technischen Hürden bei der Ausübung des Widerspruchsrechts. Die Verfügungsbeklagte hat verschiedene Möglichkeiten des Widerspruchs vorgetragen und mit der von ihr vorgelegten eidesstattlichen Versicherung (Anlage AG 9) glaubhaft gemacht, dass diese technisch auch – von üblichen Fehlerraten abgesehen – funktionieren. Demgegenüber von dem Verfügungskläger aus seiner Praxis berichtete einzelne Problemfälle vermögen dies nicht grundsätzlich in Frage zu stellen. Aus dem von der Verfügungsbeklagten vorgelegten Screenshot der Internetseite, auf der die Widerspruchsmöglichkeit ausgeübt werden kann (Anlage AG 31), ergibt sich ferner, dass der Widerspruch für den durchschnittlichen Nutzer unkompliziert ausgeübt werden kann.

Auch ist die Frist von immerhin ca. sechs Wochen für die zu treffende Entscheidung hinreichend bemessen. Dabei verkennt der Senat nicht, dass die Entscheidung mit für durchschnittliche Nutzer kaum übersehbaren technischen Vorfragen über die Funktionsweise von KI-Systemen verbunden ist (vgl. Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 25). Bei verbleibenden Zweifeln steht es jedem Nutzer aber frei, den Widerspruch auszuüben.

Eine mangelnde Transparenz der Informationen zum Widerspruchsrecht vermag der Senat ebenfalls nicht zu erkennen. Mit Pressemitteilung vom 14. April 2025 informierte die Verfügungsbeklagte über die anstehende Datennutzung für das KI-Training und kündigte weitere Informationen an. Diese erfolgten sodann insbesondere mittels In-App-Benachrichtigungen und einer E-Mail-Kampagne. In der Informations-Email für Facebook-Nutzer (Anlage AG 27) heißt es bei der Erläuterung, welche Daten verwendet werden für den Durchschnittsnutzer ohne Weiteres verständlich:

„Dazu zählen alle öffentlichen Informationen, die du seit dem Erstellen deines Kontos in Meta-Produkten geteilt hat. Darüber hinaus verwenden wir auch deine Interaktionen mit Funktionen von KI bei Meta.“

Die Verfügungsbeklagte hat insoweit durch Vorlage von (elektronischen) Abschriften der entsprechenden Dokumente (Anlage AG 8, 22 bis 29) glaubhaft gemacht, die beabsichtigte Datennutzung transparent und für den Durchschnittsnutzer verständlich erläutert und eine Handlungsnotwendigkeit verdeutlicht zu haben.

Der Senat verkennt allerdings nicht die begrenzte Wirksamkeit der Möglichkeit zur Rücknahme der Öffentlichkeit von Postings oder des Kontos bzw. der Möglichkeit eines Widerspruchs in Bezug auf Daten von Dritten in Nutzerkonten. Soweit personenbezogene Informationen über eine dritte Person in einem Konto enthalten sind, vermag eine Rücknahme der Öffentlichkeit bzw. ein Widerspruch diese dritte Person nur dann zu schützen, wenn sie von dem Kontoinhaber vorgenommen bzw. erklärt wird. Dies gilt unabhängig von der Frage, ob der betroffene Dritte die Angebote der Verfügungsbeklagten überhaupt nutzt oder nicht. Hinzu kommt, dass ein Widerspruch für institutionsbezogene Konten (Schulen, Kindergärten, Unternehmen, Fanpages) nicht möglich ist. Dort eingestellten Daten genießen damit keinen Schutz, soweit sie – auf Basis einer entsprechenden Abwägungsentscheidung der jeweiligen Einrichtung – öffentlich gehalten werden.

Insgesamt betrachtet, ist es – trotz der geschilderten Einschränkungen – im Rahmen der im Eilverfahren zur Verfügung stehenden Erkenntnismöglichkeiten überwiegend wahrscheinlich, dass die Möglichkeit, die Öffentlichkeit der betroffenen Daten zu widerrufen, und/oder die Möglichkeit der Ausübung des Widerspruchs gegen die Verwendung der Daten für das KI-Training entgegen der Befürchtungen des Verfügungsklägers eine praktische Wirksamkeit entfalten wird.

bbbb) Eine Erwartbarkeit der Verwendung von Nutzerdaten für Zwecke des Trainings von KI vermag der Senat erst für ab dem 26. Juni 2024 in die betroffenen Dienste eingestellte Daten festzustellen.

Der Ausschuss verweist zur Feststellung der berechtigten Erwartungen der Betroffenen in seiner Stellungnahme vom 17. Dezember 2024 insbesondere darauf, ob die entsprechenden Daten öffentlich zugänglich waren, welche Art der Beziehung zwischen der betroffenen Person und dem Verantwortlichen sowie der Quelle bestand, aus der die Daten stammen, den dort gebotenen Datenschutzeinstellungen und ob die betroffenen Personen dem für die Verarbeitung Verantwortlichen die Daten direkt – etwa im Rahmen der Nutzung des Dienstes – zur Verfügung gestellt haben (Ausschuss vom 17. Dezember 2024, Rn. 93 f.; vgl. zu den Feststellungskriterien auch DSK, Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO), https://www.datenschutzkonferenz-online.de/media/oh/OH-Werbung_Februar%202022_final.pdf; Paal, ZfDR 2024, 129, 153; Franke, RDi 2023, 565, 567)). Nicht entscheidend sind dabei etwaige – möglicherweise missbräuchliche – Gepflogenheiten der Datenverarbeitung in bestimmten Branchen. Die von der Verfügungsbeklagten mittels Pressemitteilungen großer KI-Unternehmen (Anlage AG 20 und AG 21) belegte Praxis, Daten zum Training von KI mittels sog. Web-Scrapings schlicht „abzugreifen“, prägt daher nicht die berechtigten Erwartungen der Betroffenen (vgl. Ausschuss vom 8. Oktober 2024, Rn. 52 unter Hinweis auf EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 117).

Nach diesen Maßgaben konnte und musste „vernünftigerweise“ mit einer Nutzung von der Verfügungsbeklagten überlassenen Daten zum Training von KI jedenfalls ab ihrer öffentlichen Mitteilung vom 10. Juni 2024, ab dem 26. Juni 2024 Nutzerdaten zum Zwecke des Trainings ihrer KI nutzen zu wollen, gerechnet werden. Wenngleich die Verfügungsbeklagte diese Ankündigung später zunächst zurückgenommen hat, war ihre grundsätzliche Nutzungsabsicht damit deutlich.

Im Hinblick auf vor diesem Zeitpunkt eingestellte Daten vermag der Senat im Rahmen einer summarischen Prüfung eine solche Erwartung hingegen nicht festzustellen. Eine solche Erwartung ist von der Verfügungsbeklagten bereits nicht substantiiert dargetan. Sie ist auch nicht anderweitig erkennbar. Insoweit ist breiten Nutzerkreisen der Begriff der „Künstlichen Intelligenz“ und die Notwendigkeiten des „Trainings“ solcher Systeme mit umfangreichen Datenbeständen lange nicht bekannt gewesen. Im Anschluss an die öffentliche Vorstellung von „ChatGTP“ im November 2022 musste zwar bei öffentlich „gestellten“ Daten mit einer potentiellen Nutzung mittels Web-Scraping im Bereich des Trainings von KI möglicherweise gerechnet werden (Franke, RDi 2023, 565, 567; in diese Richtung auch etwa Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 24). Allerdings hat die Verfügungsbeklagte insoweit bereits nicht weiter vorgetragen. Im Hinblick auf die hier maßgebliche Verwendung gerade von Nutzerdaten in Konten sozialer Netzwerke, die - wie auch die Verfügungsbeklagte – oftmals Schutzvorkehrungen gegen solches Web-Scraping anbieten (vgl. Ziffer 3.2.3 der Nutzungsbedingungen der Verfügungsbeklagten), wird eine entsprechende Erwartung der Betroffenen, dass die Daten auch in ihren Nutzerkonten entsprechend verwendet werden, aber mit guten Gründen verneint (vgl. etwa Hüger, ZfdR 2024, 263, 273; Wilmer, K&R 2023, 233, 236). Eine solche Verwendung geht auch weit über die anzunehmende Erwartung, der Verfügungsbeklagten überlassene Daten könnten im Rahmen allgemeiner Produktverbesserunen verwendet werden, hinaus. Diese Auffassung entspricht auch der in der mündlichen Verhandlung am 22. Mai 2025 geäußerten Einschätzung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Dieser hat insoweit auf einen fundamentalen Unterschied bei der Erwartbarkeit einer Datenverwendung für KI-Systeme, die bestehende Dienste lediglich verbessern und – wie hier – der Entwicklung selbstständig einsetzbarer KI-Modelle, die jedem zugänglich sind, hingewiesen.

cccc) Wenngleich auf dieser Basis beachtliche Beeinträchtigungen der Interessen und Grundrechte der Betroffenen festzustellen sind, überwiegen diese das Interesse der Verfügungsbeklagten an der Datenverarbeitung im Ergebnis nicht.

(1.) Jedenfalls für ab dem 26. Juni 2024 durch Betroffene selbst eingestellte eigene Daten, ergibt sich dies bereits daraus, dass diese vernünftigerweise mit einer entsprechenden Verarbeitung der von ihnen freiwillig auf die Plattformen der Verfügungsbeklagten für jedermann öffentlich einsehbar eingestellten Daten rechnen mussten. Wenngleich berücksichtigungsfähig ist (Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 24; Hüger, ZfDR 2024, 263, 274), dass die von der Verfügungsbeklagten entwickelte KI – auch wenn die Verfügungsbeklagte den Nutzen für eine breite Masse an Nutzern hervorhebt – im Wesentlichen wirtschaftlichen Zwecken und nicht vorrangig dem Allgemeinwohl dient, vermögen angesichts der Erwartbarkeit der entsprechenden Nutzung der der Verfügungsbeklagten überlassenen Daten die Interessen der Betroffenen auch die bloßen Individualinteressen der Verfügungsbeklagten nicht zu überwiegen. Diese Rechtsauffassung wurde in der mündlichen Verhandlung am 22. Mai 2025 im Grundsatz auch durch den Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit vertreten, der eine entsprechende Erwartbarkeit lediglich eher ab dem 27. Mai 2025 annehmen wollte. Der Beauftragte hat auf Nachfrage dabei klargestellt, dass sich seine Auffassung auch auf „Bilder“ beziehe.

(2.) Für vor diesem Zeitpunkt eingestellte eigene Daten und für solche Daten von Betroffenen, die in Konten Dritter eingestellt wurden, gilt im Ergebnis nichts Anderes.

Der Senat hat zunächst keinen Anlass feststellen können, im vorliegenden Eilverfahren von den durch den Ausschuss für europäische Nutzer über mehrere Monate gerade auch mit Blick auf das vorliegende KI-Projekt erarbeiteten Abschwächungsmaßnahmen gerade für Verbraucher mit Wohnsitz in Deutschland abzuweichen und diese für untauglich zu halten. Es sind keine Unterschiede ersichtlich, die dies gebieten könnten.

100

(a) Im Hinblick auf die vor dem 26. Juni 2024 eingestellten eigenen Daten haben die hieran interessierten Nutzer die Möglichkeit, die Verarbeitung der auf ihren Nutzerkonten „öffentlich“ eingestellten Daten durch die Rücknahme des öffentlichen Status der Daten, jedenfalls aber durch die Einlegung des Widerspruchs zu verhindern. Insoweit steht diesen Nutzern ein – nach summarischer Prüfung – wirkungsvolles Instrument zur Verfügung, eine Beeinträchtigung ihrer Rechte in zumutbarer Weise zu verhindern. Das Interesse dieser Nutzer am Schutz ihrer Daten – dem durch die aufgezeigten Möglichkeiten sehr weit Rechnung getragen wird – vermag gegenüber dem als sehr bedeutsam einzuschätzenden Interesse der Verfügungsbeklagten am Training ihrer KI jedenfalls nicht zu überwiegen. Der Europäische Gesetzgeber hat in der KI-VO das Ziel artikuliert, „bei der Entwicklung einer sicheren, vertrauenswürdigen und ethisch vertretbaren KI weltweit eine Führungsrolle einzunehmen“ (Erwägungsgrund 8 der KI-VO) und hierzu einen „einheitlichen Rechtsrahmen“ für KI zu schaffen (Erwägungsgrund 1 der KI-VO). Der entsprechenden Zielsetzung ist bei der Gewichtung des Interesses der Verfügungsbeklagten an einer Datenverarbeitung Rechnung zu tragen. Dieses Interesse der Verfügungsbeklagten wäre in seinem Kernbereich betroffen, würde das beabsichtigte Training mit den Nutzerdaten untersagt. Es steht für den Senat außer Zweifel, dass die Verfügungsbeklagte auf große Datenmengen zum Training der KI angewiesen ist. Zudem hält es der Senat für mindestens überwiegend wahrscheinlich, dass die Verfügungsbeklagte zur von ihr angestrebten „Regionalisierung“ der KI auf die hier in Rede stehenden Daten zwingend angewiesen ist.

101

(b) Soweit Daten Dritter in Konten betroffen sind, deren Inhaber weder den öffentlichen Status der Daten verändern, noch einen Widerspruch erklären oder erklären können, besteht allerdings keine Möglichkeit der Betroffenen, eine Beeinträchtigung ihrer Rechte zu verhindern.

102

Aufgrund der im Ergebnis – gerade auch aufgrund der weiteren von der Verfügungsbeklagten getroffenen Abschwächungsmaßnahmen – eher geringen Intensität des Eingriffs überwiegen aber auch in diesem Fall die Interessen der betroffenen Personen gegenüber dem, wie dargelegt, als sehr bedeutsam einzuschätzenden und kernbereichsnah betroffenen Interesse der Verfügungsbeklagten an der Datenverarbeitung nicht. Der Senat verkennt dabei nicht, dass unter den Betroffenen auch Kinder sein können, deren Interessen in besonderer Weise schutzbedürftig sind (vgl. Schwartmann/Klein in: Schwartmann u.a., DSGVO, 2024, Art. 6 EUV 2016/679, Rn. 173) und hat dies in besonderer Weise in die Abwägung einbezogen.

103

Es ist unwahrscheinlich, dass ein – über das grundsätzliche Recht, über die Nutzung der eigenen Daten zu bestimmen, hinausgehender – konkreter Nachteil durch die Verarbeitung entstehen kann. Es geht, worauf der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hinweist, bei der – hier in Rede stehenden – Entwicklung von großen Sprachmodellen auf Grundlage sehr großer Trainingsdatensätze regelmäßig nicht um die gezielte Verarbeitung personenbezogener Daten oder um die Identifizierung einer konkreten Person. Es kommt insoweit nicht, wie bei einem eingriffsintensiven Profiling im Sinne des Art. 4 Abs. 4 DS-GVO, das die DS-GVO nur unter strengen Voraussetzungen erlaubt, gerade auf die Informationen des Individuums an (Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 25; Franke, RDi 2023, 565, 568). Über das beeinträchtigte Interesse an der Selbstbestimmung über die eigenen Daten hinausgehende eigene Nachteile können letztlich im Wesentlichen nur durch eine spätere Wiedergabe der Daten durch die KI entstehen. Diese Gefahr ist zwar – wie dargelegt – rechtlich nicht zu vernachlässigen. Insoweit hat die Verfügungsbeklagte aber durch die eidesstattliche Versicherung des Direktors GenAI Produkt Management bei Meta Platforms Inc, U. R., vom 7. Mai 2025 (Anlage AG 9) sowie durch dessen weitere eidesstattlich Versicherung vom 22. Mai 2025 (Anlage AG 45) glaubhaft gemacht, dass diese Gefahr als gering einzuschätzen ist. Zudem hat die Verfügungsbeklagte – wenngleich nicht lückenlose – Maßnahmen zur Deidentifizierung der in den Trainingsdatensatz übernommenen Daten ergriffen. Insgesamt wird der Vortrag der Verfügungsbeklagten auch durch eine Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg bestätigt, in der darauf hingewiesen wird, dass in die Interessenabwägung einzubeziehen sei, dass aufgrund der Größe der Trainingsdatensätze zur Entwicklung eines Sprachmodells nur eine geringere Identifizierungswahrscheinlichkeit für Einzelpersonen besteht. Wenn Informationen in Datensätzen nur einzeln vorhanden sind und KI-Modelle nicht wiederholt mit diesen Informationen trainiert werden, ist die Wahrscheinlichkeit hoch, dass Informationen über Einzelpersonen in der Datenmasse von KI-Modellen untergehen, d.h. nicht unverändert in einer Ausgabe eines KI-Systems erscheinen (Landesbeauftragte BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, 17. Oktober 2024, S. 25). Im Hinblick auf eine eingeschränkte Möglichkeit, einmal in die KI eingestellte Daten zu löschen, wird zwar ein zentrales Betroffenenrecht deutlich in Frage gestellt. Allerdings hat sich die Verfügungsbeklagte in der mündlichen Verhandlung am 22. Mai 2025 dahingehend eingelassen, solche Daten bei künftigen Trainingsvorgängen nicht mehr zu nutzen, wodurch die entsprechenden Informationen jedenfalls gleichsam verblassen würden. Dem ist der Verfügungskläger nicht substantiiert entgegengetreten. Insoweit ist die Gefahr eines unumkehrbaren Schadens jedenfalls abgeschwächt.

104

(3.) Mit dieser Bewertung sieht sich der Senat im Einklang mit der von dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit geschilderten Rechtsauffassung der zuständigen DPC, die im Hinblick auf die getroffenen Abschwächungsmaßnahmen die beabsichtigte Datenverarbeitung bislang nicht untersagt hat, sondern zunächst nur deren Folgen eng beobachten will.

105

dd) Die Verarbeitung der Daten ist auch nicht nach Art. 9 Abs. 1 DSGVO untersagt.

106

aaa) Zwar wird der zu Trainingszwecken vorgesehene Datensatz auch personenbezogene Daten im Sinne des Art. 9 Abs. 1 DSGVO enthalten.

107

Es handelt sich bei den in den KI-Trainingsdatensatz aufgenommenen Daten um personenbezogene Daten. Dass die von der Verfügungsbeklagten unternommene Deidentifizierung nicht zu einer vollständigen Anonymisierung führt, ist unstreitig.

108

Aufgrund der Weite des Anwendungsbereichs des Art. 9 Abs. 1 DSGVO ist sicher davon auszugehen, dass solche Daten in den Nutzerdaten enthalten sind. Nach der Rechtsprechung des Europäischen Gerichtshofs sind Daten bereits dann als Gesundheitsdaten im Sinne Art. 9 Abs. 1 DSGVO einzustufen, wenn aus diesen Daten mittels gedanklicher Kombination oder Ableitung auf den Gesundheitszustand der betroffenen Person geschlossen werden kann (EuGH, Urteil vom 4. Oktober 2024 – C-21/23 –, juris, Rn. 83). Es ist nicht ersichtlich, dass im Rahmen der anderen Kategorien des Art. 9 Abs. 1 DSGVO ein anderer Maßstab gelten würde (vgl. EuGH, Urteil vom 1. August 2022 – C-184/20 –, juris, Rn. 123). Dies gilt unabhängig davon, ob diese Informationen einen Nutzer einer Plattform oder eine andere natürliche Person betreffen (EuGH, Urteil vom 4. Oktober 2024 – C-21/23 –, juris, Rn. 86; EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 68). Solche Rückschlüsse auf Dritte hält der Gerichtshof selbst dann für möglich, wenn innerhalb eines Nutzerkontos agiert werde, weil auch dann die in diesem Zusammenhang gemachten Angaben – insbesondere in Kombination mit weiteren Informationen – verwendet werden können, um Rückschlüsse auf den Dritten zu ziehen (EuGH, Urteil vom 4. Oktober 2024 – C-21/23 –, juris, Rn. 88, 91). Das in Art. 9 Abs. 1 DSGVO vorgesehene grundsätzliche Verbot gilt unabhängig davon, ob die durch die Verarbeitung offengelegte Information richtig ist oder nicht (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 69).

109

Diesem Ergebnis lässt sich auch nicht entgegenhalten, der Trainingsdatensatz enthalte lediglich „auch“ Daten im Sinne des Art. 9 Abs. 1 DSGVO. Vielmehr hat der Europäische Gerichtshof in einer die Verfügungsbeklagte betreffenden Rechtssache (Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 89) anders entschieden:

110

„Wenn ein Datensatz, der sowohl sensible als auch nicht sensible Daten enthält, Gegenstand solcher Vorgänge ist und insbesondere als Ganzes erhoben wird, ohne dass die Daten zum Zeitpunkt dieser Erhebung voneinander getrennt werden können, ist die Verarbeitung dieses Datensatzes aber als iSv Art. 9 I DSGVO untersagt anzusehen, sofern sie mindestens ein sensibles Datum umfasst und keine der in Art. 9 II DSGVO genannten Ausnahmen greift.“

111

bbb) Zwar kann sich die Verfügungsbeklagte jedenfalls nicht für sämtliche in Frage stehende Daten im Sinne des Art. 9 Abs. 1 DSGVO auf den von ihr angeführten Ausnahmetatbestand des Art. 9 Abs. 2 lit e) DSGVO berufen.

112

Danach gilt das in Art. 9 Abs. 1 DSGVO aufgestellte grundsätzliche Verbot jeder Verarbeitung besonderer Kategorien personenbezogener Daten nicht, wenn sich die Verarbeitung auf personenbezogene Daten bezieht, die „die betroffene Person offensichtlich öffentlich gemacht hat“.

113

Nach allgemeinen Grundsätzen ist die Ausnahmevorschrift eng auszulegen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 76 mwN.; EuGH, Urteil vom 4. Oktober 2024 – C‑446/21 -, Rn. 76). Insoweit ist entscheidend, ob die betroffene Person die Absicht hatte, die fraglichen personenbezogenen Daten ausdrücklich und durch eine eindeutige bestätigende Handlung der breiten Öffentlichkeit zugänglich zu machen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 77; EuGH, Urteil vom 4. Oktober 2024 - C‑446/21 -, Rn. 76; Jaspers/Schwartmann/Mühlenbeck in: Schwartmann u.a., DSGVO, 2024, Art. 9 EUV 2016/679, Art. 9 Rn. 166 ff.).

114

Danach kann der Ausnahmebestand lediglich hinsichtlich solcher Daten bejaht werden, die ein Nutzer zur eigenen Person in sein öffentliches Nutzerkonto eines Social Media-Dienstes eingestellt bzw. in öffentlichen Postings mitgeteilt hat. Bei einer entsprechenden „öffentlichen“ Einstellung von Daten in ein Nutzerkonto muss dem durchschnittlichen Nutzern bekannt sein, dass diese Daten von Jedermann zur Kenntnis genommen werden können und sogar mittels Suchmaschinen auffindbar sind. Insoweit wird aus der „öffentlichen“ Einstellung solcher Informationen in ein Nutzerkonto die Absicht offensichtlich, solche Daten der breiten Öffentlichkeit zugänglich zu machen (vgl. Jaspers/Schwartmann/Mühlenbeck in: Schwartmann u.a, DSGVO, 2024, Art. 9 EUV 2016/679, Art. 9 Rn. 169).

115

Im Hinblick durch von Nutzern geteilte Daten Dritter ist die Ausnahmeregel allerdings nicht anwendbar. Der Ausnahmeregelung liegt ein Verzicht auf den Schutz des Art. 9 Abs. 1 DSGVO zugrunde (Jaspers/Schwartmann/Mühlenbeck in: Schwartmann u.a., DSGVO, 2024, Art. 9 EUV 2016/679, Art. 9 Rn. 165), über den jeder Betroffene nur für sich selbst entscheiden kann. Der Europäische Gerichtshof hat die Ausnahme „wohlgemerkt“ auf Daten, die die betroffene Person selbst öffentlich gemacht hat, beschränkt (Urteil vom 4. Juli 2023 – C-252/21 -, juris, Rn. 75).

116

ccc) Auch soweit Daten Dritter betroffen sind, ist der vorliegende Fall nach Auffassung des Senats, dem im vorliegenden Eilverfahren nicht die Möglichkeit einer Vorlage an den Gerichtshof zur Verfügung steht, allerdings von dem Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO dennoch nicht erfasst. Der Senat geht vorbehaltlich einer im Hauptsacheverfahren zu prüfenden Vorlage an den Europäischen Gerichtshof davon aus, dass dieses Verbot im konkreten Fall einer „Aktivierung“ durch einen Antrag des betroffenen Dritten auf Herausnahme seiner Daten aus dem veröffentlichten Beitrag beziehungsweise aus dem Trainingsdatensatz bedurft hätte.

117

Zwar hat der Gerichtshof einer in der Literatur (vgl. Jaspers/Schwartmann/Mühlenbeck in: Schwartmann u.a., DSGVO, 2024, Art. 9 EUV 2016/679 Rn. 26; Plath in: Plath, DSGVO, 2023, Art. 9 EUV 2016/679 Rn. 5, 10f) oftmals vertretenen teleologischen Reduktion des Art. 9 Abs. 1 DSGVO in solchen Fällen, in denen der Zweck der Verarbeitung – wie hier – gerade nicht darin liegt, in identifizierender Weise „sensible“ Informationen zu erlangen bzw. zu verarbeiten, eine Absage erteilt und entschieden, dass es gerade nicht darauf ankommt, ob der Verantwortliche mit dem Ziel handelt, Informationen zu erhalten, die unter eine der in dieser Bestimmung genannten besonderen Kategorien fallen (EuGH, Urteil vom 4. Juli 2023 – C-252/21 –, juris, Rn. 69; EuGH, Urteil vom 4. Oktober 2024 – C-21/23 –, juris, Rn. 87).

118

Diese Absage an eine teleologische Reduktion des Art. 9 DSGVO stellt das Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO aber nicht absolut. So ergibt sich aus der Entscheidung des Europäischen Gerichtshofs vom 24. September 2019 (C-136/17 -, juris, Rn. 45 ff.; vgl. insoweit auch Schlussanträge des Generalanwalts vom 10. Januar 2019, Rn. 56 f.) im Hinblick auf einen Suchmaschinenbetreiber, dass zwar tätigkeitsbezogene Besonderheiten des Betriebs einer Suchmaschine keine Freistellung rechtfertigen, die Vorgaben von Art. 9 Abs. 1 DSGVO einzuhalten. Allerdings können sich diese Besonderheiten auf den Umfang der Verantwortlichkeit und der konkreten Verpflichtungen des Suchmaschinenbetreibers im Hinblick auf diese Bestimmungen auswirken. Für den Betreiber einer Suchmaschine folgt daraus, dass für Datenverarbeitungen im Rahmen der Suchmaschinentätigkeit das in Art. 9 DSGVO vorgesehene Verbot nur nach einer Prüfung anwendbar ist, die erst auf der Grundlage eines Antrags der betroffenen Person unter der Aufsicht der zuständigen nationalen Behörden vorzunehmen ist.

119

Zudem lagen den Entscheidungen in den vorgenannten Sachen C-252/21 (EuGH, Urteil vom 4. Juli 2023, juris, Rn. 69) und C-21/23 (EuGH, Urteil vom 4. Oktober 2024, juris, Rn. 87) deutlich andere Sachverhalte zugrunde als im Streitfall. Der Entscheidung in der Rechtssache C-252/21 lagen Fragen im Zusammenhang mit personalisierter Werbung zugrunde. Die Sache C-21/23 betraf den Umgang mit Nutzerdaten im Rahmen der Bestellung apothekenpflichtiger Medikamente bei einer Onlineplattform. Das hier in Frage stehende Training von KI ist damit nicht hinreichend vergleichbar. Der Europäische Gesetzgeber hat in der KI-VO – wie oben bereits dargelegt – das Ziel artikuliert, „bei der Entwicklung einer sicheren, vertrauenswürdigen und ethisch vertretbaren KI weltweit eine Führungsrolle einzunehmen“ (Erwägungsgrund 8 der KI-VO) und hierzu einen „einheitlichen Rechtsrahmen“ für KI zu schaffen (Erwägungsgrund 1 der KI-VO). Es steht außer Zweifel, dass eine solche Vorreiterrolle kaum zu erreichen ist, wenn im Geltungsbereich der DSGVO ein Training von generativer KI mittels Massendaten unmöglich wäre. Dies wäre aber die Folge einer wörtlichen Anwendung des Art. 9 DSGVO (kritisch zu einer weiten Auslegung etwa: Jaspers/Schwartmann/Mühlenbeck in: Schwartmann u.a., DSGVO, 2024, Art. 9 EUV 2016/679 Rn. 26 mwN.). Angesichts der Breite des Anwendungsbereichs des Art. 9 Abs. 1 DSGVO ist es vernünftigerweise ausgeschlossen, dass große Datensätze solche Daten nicht enthalten. Eine Anonymisierung solcher Datensätze ist nicht praktikabel, eine Einwilligung der Betroffenen ist oftmals kaum mit zumutbarem Aufwand zu erlangen. Eine solche Auslegung würde auch der „Dualität“ der Schutzzwecke der DSGVO, die neben dem Schutz personenbezogener Daten auch dem Schutz des freien Verkehrs solcher Daten und damit ihrer Verwendbarkeit dient (Art. 1 Abs. 1 DSGVO; Bernd Schmidt in: Taeger/Gabel, DSGVO, 2022, Art. 1 Rn. 1; Schwartmann/Jacquemain in: Schwartmann u.a., DSGVO, 2024, Art. 1 EUV 2016/679, Rn. 1), zuwiderlaufen.

120

In der KI-VO hat der europäische Gesetzgeber zudem in Kenntnis der Notwendigkeit des Trainings generativer KI mittels großer Massen an Daten (die Notwendigkeit des Trainings großer generativer KI-Modelle mit „riesigen Mengen an Text, Bildern, Videos und anderen Daten“ ist im Erwägungsgrund 105 der KI-VO ausdrücklich anerkannt) und in Kenntnis der seit längerem erfolgenden Nutzung von Webscraping zur Gewinnung von KI-Trainingsdaten, das stets die Gefahr der – unbeabsichtigten und nicht zielgerichteten – Verarbeitung von Daten im Sinne des Art. 9 DSGVO birgt, Öffnungsregelungen, die ein Training von KI mit Massendaten erlauben, nicht getroffen. Dies lässt sich aus Sicht des Senats nicht anderes verstehen, als dass der Gesetzgeber nicht von einer entsprechenden Unmöglichkeit oder grundsätzlichen Rechtswidrigkeit ausgegangen ist. Eine Regelung, die ein solches Training ermöglicht, wäre in einem Gesetz, das der Erlangung einer „Vorreiterrolle“ dient, sonst zwingend zu erwarten gewesen. Dass der Gesetzgeber der KI-VO die Einschränkungen durch die DSGVO durchaus im Blick hatte, zeigt die (gem. Art. 113 KI-VO ab dem 2. August 2026 geltenden) Ausnahmeregelung des Art. 10 Abs. 5 der KI-VO, die eine Rechtsgrundlage für den zielgerichteten Einsatz von Daten im Sinne des Art. 9 DSGVO beim Training von Hochrisiko-KI schafft (vgl. Erwägungsgrund 70 der KI-VO; Schwartmann/Keber/Köhler/Nägele, in: Schwartmann, KI-VO - Leitfaden, 2024, 2. Teil 1. Kapitel Rn. 305; Jaspers/Schwartmann/Mühlenbeck, in: Schwartmann u.a., DSGVO, 2024, Art. 9 EUV 2016/679, Rn. 185). Ferner ergibt sich dies aus den Regelungen für den Einsatz biometrischer Daten im Sinne des Art. 9 Abs. 1 DSGVO (vgl. Erwägungsgründe 30 ff. der KI-VO). Für die nicht zielgerichtete Verarbeitung solcher Daten beim Training von KI hat der europäische Gesetzgeber hingegen keinen Regelungsbedarf gesehen.

121

Im Hinblick auf die Rechtsprechung des Europäischen Gerichtshofs in der Sache C-136/17 (Urteil vom 24. September 2019) geht der Senat insoweit für das Training einer KI von einer tätigkeitsbezogenen Reduktion der Unterlassungspflicht der Verfügungsbeklagten dahin aus, dass diese jedenfalls dann, wenn die Verarbeitung nicht zielgerichtet erfolgt, einer näheren Konkretisierung durch einen Antrag des Betroffenen auf Herausnahme seines Datensatzes bedarf. Dabei verkennt der Senat auch insoweit nicht, dass eine spätere Löschung der Daten aus der KI nur eingeschränkt möglich ist. Angesichts der festgestellten nur geringen Gefahren einer konkreten Schädigung der Betroffenen durch die weitere Verarbeitung der bereits öffentlichen Daten sieht der Senat einen entsprechenden Willen des europäischen Gesetzgebers insgesamt dennoch hinreichend klar artikuliert. Auch der Stellungnahme des Ausschusses vom 17. Dezember 2025 lassen sich keine gegenteiligen Ausführungen entnehmen. Zwar wird dort auf die grundsätzliche Untersagung der Verarbeitung von Daten nach Art. 9 Abs. 1 DSGVO und auf die Auslegungsgrundsätze aus der Kartellamts-Entscheidung des Europäischen Gerichtshofs vom 4. Juli 2023 (C-252/21) verwiesen (Stellungnahme, Rn. 17). Eine nähere Untersuchung hat der Ausschuss aber ausdrücklich nicht vorgenommen.

122

Die Voraussetzung der nicht zielgerichteten Verarbeitung der Daten ist aufgrund des hierauf nicht gerichteten Ziels des KI-Trainings, das allgemeine Muster für Wahrscheinlichkeitsberechnungen und keine Profilbildung zu einzelnen Personen schaffen soll, sowie durch die zahlreichen entsprechenden Schutzmaßnahmen der Verfügungsbeklagten hinreichend dargelegt.

123

Ein Verarbeitungsverbot besteht damit nicht, der auch für die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO erforderliche (vgl. Jaspers/Schwartmann/Mühlenbeck in: Schwartmann u.a., DSGVO, 2024, Art. 9 EUV 2016/679, Art. 9 Rn. 165; Franke, RDi 2023, 565, 568) Erlaubnistatbestand nach Art. 6 Abs. 1 lit f) DSGVO ist – wie dargelegt – erfüllt.

124

ee) Vor diesem Hintergrund bedurfte es für keine der Datenkategorien (ab dem 26. Juni 2024 eingestellte eigene Daten; vor dem 26. Juni 2024 eingestellte eigene Daten; eingestellte Fremddaten) einer Einwilligung. Dem entspricht, dass der (deutsche) Gesetzgeber es in der einen ähnlichen Vorgang betreffenden Regelung in § 44b UrhG urheberrechtlich ebenfalls bei einem bloßen Widerspruchsrecht belassen hat (vgl. Wilmer, K&R 2023, 233, 234; Sänger, in: Schwartmann, KI-VO - Leitfaden, 2024, 2. Teil, 3. Kap, Rn. 116).

125

Streitwert des Verfahrens: 250.000 € (§ 48 Abs. 1 S. 2 GKG)