Datenschutz­woche

OLG Köln: Meta darf öffentliche Profildaten für KI-Training nutzen

Das Oberlandesgericht Köln hat am 23. Mai 2025 im Eilverfahren entschieden, dass Meta öffentliche Profildaten von Nutzerinnen und Nutzern seiner Dienste „Facebook“ und „Instagram“ für das Training Künstlicher Intelligenz verwenden darf. Ein entsprechender Antrag auf vorläufigen Rechtsschutz der Verbraucherzentrale NRW auf Untersagung der Datenverarbeitung wurde abgelehnt. Meta hatte im April 2025 angekündigt, ab dem 27. Mai personenbezogene Daten aus öffentlich sichtbaren Nutzerprofilen für KI-Zwecke zu nutzen. Die Daten stammen von Nutzerinnen und Nutzern, die der Verarbeitung nicht aktiv widersprochen haben. 

Nach Einschätzung des Gerichts liegt bei summarischer Prüfung kein Verstoß gegen die DSGVO oder den Digital Markets Act vor. Diese Einschätzung stimmt mit der aufsichtsrechtlichen Bewertung durch die für Meta zuständige irische Datenschutzbehörde überein. Die angekündigte Verwendung der Daten für KI-Trainingszwecke stelle sich bei vorläufiger Betrachtung auch ohne Einwilligung der Betroffenen als rechtmäßig im Sinne des Art. 6 Abs. 1 Buchstabe f) DSGVO dar. 

Meta verfolge mit der Verwendung zum Training von KI-Systemen einen legitimen Zweck. Dieser legitime Zweck könne nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden. Es würden ausschließlich öffentlich zugängliche Daten verarbeitet, ohne eindeutige Identifikatoren wie Name oder Adresse. Nutzerinnen und Nutzer können der Verwendung widersprechen oder ihre Profile auf „nicht öffentlich“ umstellen.

Unzweifelhaft werden für das Training große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können. Im Rahmen der Abwägung der Rechte von Nutzenden und Meta als Betreiberin überwiegen jedoch die Interessen an der Datenverarbeitung. 

US-Gericht stärkt Unabhängigkeit des PCLOB – Ist der Angemessenheitsbeschluss nun gesichert?

Das Bundesbezirksgericht für den District of Columbia hat am 21. Mai 2025 entschieden, dass zwei Mitglieder der US-Datenschutz- und Freiheitsrechtekommission PCLOB (Privacy and Civil Liberties Oversight Board) rechtswidrig durch den amtierenden Präsidenten Donald Trump entlassen wurden. Zwar verbietet das US-Recht dem Präsidenten nicht ausdrücklich, Mitglieder zu entlassen. Jedoch erklärte das Gericht, dass die Konzeption des Aufsichtsgremiums als überparteiliches Expertengremium im Widerspruch zur willkürlichen Entlassung durch den Präsidenten stehe. 

Die Entscheidung stärkt die Unabhängigkeit des Gremiums, das eine zentrale Rolle im Datenschutzrahmen zwischen der EU und den USA spielt. Der PCLOB überwacht unter anderem US-Geheimdienstmaßnahmen im Bereich der Terrorismusbekämpfung und bewertet deren Vereinbarkeit mit Grundrechten. Die Entscheidung hat auch transatlantische Relevanz. Im Juli 2023 war das Data Privacy Framework (DPF) auf Grundlage einer Executive Order des US-Präsidenten Joe Biden in Kraft getreten. Das PCLOB ist eines der zentralen Aufsichtsgremien im Rahmen des DPF und ist mit der Prüfung behördlicher Überwachungspraktiken und dem Schutz der Privatsphäre betraut. 

Kritiker warnten zuletzt schon vor einer Schwächung des Gremiums durch politische Eingriffe. Mit dem Urteil könnte das PCLOB wieder vollständig arbeitsfähig werden und seiner Rolle im Schutz der Grundrechte und im internationalen Datenschutz nachkommen.

Internationale Nachrichten

• Irland: Die irische Datenschutzaufsichtsbehörde (DPC) hat ein Statement zu Meta AI veröffentlicht. Darin berichtet sie über die enge Zusammenarbeit mit Meta in den letzten Jahren, in deren Rahmen Meta eine Reihe wichtiger Maßnahmen und Verbesserungen umgesetzt hat, um den Datenschutz einzuhalten. Die DPC hat Meta zudem aufgefordert, einen Bericht zu erstellen, der eine aktualisierte Bewertung der Wirksamkeit und Angemessenheit der von Meta in Bezug auf die Verarbeitung eingeführten Maßnahmen und Garantien enthält. Dieser Bericht wird für Oktober 2025 erwartet. Die DPC überwacht weiterhin aktiv die Einführung der Widerspruchsformulare und die Bereitstellung der entsprechenden Informationen für die Nutzenden, um sicherzustellen, dass alle betroffenen Personen die Möglichkeit haben, der Verarbeitung ihrer öffentlichen Beiträge zu widersprechen. Als federführende Aufsichtsbehörde für viele der großen globalen Technologieunternehmen will die DPC auch weiterhin fair, konsequent und kohärent regulieren und sich dafür einsetzen, dass alle Unternehmen, die KI-Modelle in der EU/im EWR entwickeln und einsetzen, gleich behandelt werden.
• Frankreich: Die französische Datenschutzbehörde CNIL hat gegenüber dem Unternehmen SOLOCAL MARKETING SERVICES eine Geldstrafe in Höhe von 900.000 Euro verhängt. Grund dafür ist die unzulässige Nutzung personenbezogener Daten für elektronische Werbezwecke ohne gültige Einwilligung. Die Daten stammten überwiegend von Datenhändlern und Online-Gewinnspielanbietern. Die CNIL stellte fest, dass keine freiwillige Einwilligung der Betroffenen vorlag. Zusätzlich wurde SOLOCAL verpflichtet, unzulässige Werbung einzustellen, andernfalls droht ein Zwangsgeld von 10.000 Euro pro Tag.

Aktuelle Gerichtsentscheidungen: 

• VG Bremen, Urteil vom 23.04.2025, Az. 4 K 2873/23 (BeckRS 2025, 8910): Zur Rechtmäßigkeit einer Anordnung, welche auf die Untersagung einer zu Werbezwecken durchgeführten nachvertraglichen Datenverarbeitung gerichtet ist – Die nachvertragliche Werbung in Form von Haustürbesuchen kann ein berechtigtes Interesse darstellen. Sie verstößt nicht gegen die Rechtsordnung, sondern wird von dieser im Rahmen des § 7 Abs. 1 Satz 1 UWG gebilligt. Insbesondere kann eine Kündigung allein nicht bewirken, dass für den Werbenden ersichtlich ist, dass weitere Werbung unerwünscht ist. Insoweit muss hinzukommen, dass der Empfänger seinen entgegenstehenden Willen geäußert hat.
• BFH, Urteil vom 08.04.2025, Az. IX R 8/24 (BeckRS 2025, 10562): Erfordernis eines außergerichtlich gestellten Antrags auf Auskunftserteilung nach Art. 15 DSGVO bei Klageänderung – Begehrt ein Steuerpflichtiger bei der Finanzbehörde Akteneinsicht und macht er im Klageverfahren erstmals einen Auskunftsanspruch nach Art. 15 DSGVO geltend, liegt eine Klageänderung vor. Die Klageänderung ist grundsätzlich unzulässig, wenn es an einer vorherigen Ablehnung des Auskunftsanspruchs seitens der Finanzbehörde und damit an der für die Klageerhebung notwendigen Beschwerde fehlt.
• BVerwG, Urteil vom 20.03.2025, Az. 6 A 2.25 (BeckRS 2025, 6466): Kein Auskunftsanspruch zu vom BND gespeicherten personenbezogenen Daten – Die DSGVO findet im Bereich der gegenüber dem Bundesnachrichtendienst erhobenen Auskunftsansprüche keine Anwendung.
• VG Hannover, Urteil vom 19.03.2025, Az. 10 A 5385/22 (BeckRS 2025, 10472): Anforderungen an die Gestaltung eines Cookie-Banners – Verhandlungsgegenstand ist ein Cookie-Einwilligungsbanner mit zwei Ebenen: Auf erster Ebene bestehen nur die Auswahlmöglichkeiten „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“.  Die zweite Ebene enthält neben verschiedenen Drop-Down-Menus die Optionen „Alle akzeptieren“ und „Auswahl speichern“. Bei Auswahl des Buttons „Auswahl speichern“ erscheint das Cookie-Banner beim Aufruf der Website stets neu. Diese Gestaltung lenkt die Nutzer der Website gezielt zur Abgabe der Einwilligung hin. Die Einwilligung ist daher nicht freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO. Die Gestaltung eines Cookie-Einwilligungsbanners mit dem Button „Akzeptieren & schließen x“ in der rechten oberen Ecke führt zur Unwirksamkeit der Einwilligung, weil es sich weder um eine unmissverständlich abgegebene noch um eine freiwillige Erklärung im Sinne von § 25 Abs. 1 TTDSG, Art. 4 Nr. 11 DSGVO handelt.
• BFH, Urteil vom 11.03.2025, Az. IX R 24/22 (BeckRS 2025, 8896): Auskunftsrecht nach Art. 15 DSGVO: Einsicht in interne Vermerke und Stellungnahmen –  Der Anspruch aus Art. 15 DSGVO bezieht sich auch auf interne Vermerke, Aktennotizen, Bearbeitungs- und Geschäftsgangvermerke und interne Kommunikation. Denn auch diese Unterlagen können personenbezogene Daten enthalten.
• BFH, Urteil vom 11.03.2025, Az. IX R 23/22 (BeckRS 2025, 8892): Auskunftsanspruch nach Art. 15 Abs. 1 und 3 DSGVO gegenüber einer obersten Landesbehörde – Die Verarbeitung personenbezogener Daten durch eine oberste Landesbehörde unterliegt dem Anwendungsbereich der DSGVO. Auf eine Differenzierung nach der Art der Aktenführung, der Art der Dokumente oder der Form der Bearbeitung kommt es nicht an. Der Verantwortliche kann sich zur Begrenzung des Auskunftsrechts nach Art. 15 DSGVO nicht darauf berufen, dass der Betroffene über die begehrten Informationen bereits verfügt.
• OVG Münster, Urteil vom 20.02.2025, Az. 16 B 288/23 (BeckRS 2025, 2692): Recht auf Einschränkung der Verarbeitung –  Der in Art. 18 Abs. 1 Buchstabe d DSGVO genannte Zeitraum („solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen“) ist nicht gleichbedeutend mit dem Zeitraum zwischen der Stellung eines Antrags auf Gewährung einstweiligen Rechtsschutzes betreffend die Einschränkung einer Datenverarbeitung und einer diesbezüglichen Entscheidung in der Hauptsache.

Neuigkeiten aus den Aufsichtsbehörden: 

• Datenschutzaufsicht Rheinland-Pfalz: „Kinder im Netz begleiten: Online-Elternabend für Kita-Eltern am 5. Juni 2025, 19 Uhr“ – Pressemitteilung vom 08.05.2025
• Datenschutzaufsicht Brandenburg: „Meta trainiert seine KI ab Ende Mai mit Nutzerdaten – Fanpage-Betreiber sind in der Verantwortung“ – Pressemitteilung vom 19.05.2025
• Datenschutzaufsicht Hessen:„HBDI stellt Tätigkeitsberichte zum Datenschutz und zur Informationsfreiheit für das Jahr 2024 vor“ – Pressemitteilung vom 20.05.2025
• Datenschutzaufsicht Niedersachsen: „Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss“  – Pressemitteilung vom 20.05.2025
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Berlin Group legt Arbeitspapier mit Empfehlungen zu Neurotechnologien vor“ – Pressemitteilung vom 20.5.2025
• Datenschutzaufsicht Nordrhein-Westfalen: „Achtung, Widerspruchsfrist läuft aus! Meta will Daten zum Training seiner KI nutzen“  – Pressemitteilung vom 20.05.2025
• Datenschutzaufsicht Bremen: „Systeme von Meta werden demnächst auch mit europäischen Nutzerdaten trainiert, Widerspruch ist möglich“ – Pressemitteilung vom 22.05.2025
• Datenschutzaufsicht Thüringen:„Meta KI – Training mit Nutzerdaten betrifft auch öffentliche Stellen!“ –  Pressemitteilung vom 22.05.2025
• Verbraucherzentrale Mecklenburg-Vorpommern:„Datenschutz ist Grundrechtsschutz“ – Pressemitteilung vom 23.05.2025
• Verbraucherzentrale Mecklenburg-Vorpommern: „Den Anschluss nicht verlieren – Eltern werden zu Medienprofis in ihren Familien“  – Pressemitteilung vom 26.05.2025