Dr. Benedict Kreitz, LL.M.*
Der Einsatz personenbezogener Daten als Trainingsdaten für Künstliche Intelligenz
Ein Beitrag am Beispiel der Automobilindustrie im Lichte der aktuellen Rechtsprechung
Kurz und Knapp
Digitale Innovationen im Bereich der Individualmobilität müssen sich in die bestehenden regulatorischen Rahmenbedingungen der DSGVO einfügen. Im Hinblick auf eine Sekundärnutzung erhobener personenbezogener Daten für die Entwicklung neuer Datenbestände im Rahmen von Big Data oder zum Training von Künstlicher Intelligenz stellen sich dabei erhebliche Fragen für die Zweckmäßigkeit der Entwicklung neuer Geschäftsmodelle. Dabei steht die DSGVO jedoch nicht isoliert als regulatorisches Korsett, sondern wird auch flankiert durch die Durchsetzungs- und Schutzinstrumente des Wettbewerbsrechts.
I. Kommerzielle Ausgangslage in der Automobilindustrie
Fokus dieses Beitrages sind die datenschutzrechtlichen Anforderungen an die Verwendung personenbezogener Daten als Trainingsdaten für die Erstellung und Anpassung von Modellen Künstlicher Intelligenz. Dabei wird der Automobilsektor exemplarisch für einzelne Anwendungsbeispiele zur Verdeutlichung praktischer Problemlagen herangezogen. Dies ergibt sich aus dem Umstand der breiten Erfassung von personenbezogenen Daten, etwa durch die verwendete Sensortechnik in den digitalisierten Automobilen (smart car).1 Mit Blick auf diese bereits verbaute Technik ist die Weiterverwendung bereits erhobener Nutzungsdaten wegen der geringen Anpassungen, die notwendig sind, überaus zweckmäßig.2 Die technischen und ökonomischen Entwicklungen und Innovationen müssen sich jedoch in den Rahmen der europäischen Digitalregulierung, insbesondere der DSGVO,3 zum Ausgleich wirtschaftlicher Interessen datenverarbeitender Stellen gegenüber den Rechten und Freiheiten betroffener natürlicher Personen einfügen.
II. Verarbeitung personenbezogener Daten und das regulatorische Umfeld
Künstliche Intelligenz als technischer Regulierungsgegenstand ist in sachlicher Hinsicht eine Querschnittsmaterie, welche einer Gemengelage europäischer Digitalregulierung neben der DSGVO unterliegt. In dieser Konsequenz ist es im ersten Schritt zunächst geboten, das konkrete regulatorische Umfeld für den weiteren Fortgang des Beitrages zu bestimmen.
1. Ausgangssituation des Trainings von KI mit personenbezogenen Daten
Aus Sicht der Automobilunternehmen geht es nicht allein darum, mit Hilfe der erhobenen personenbezogenen Daten unmittelbar die Dienste, die mit dem verbundenen Auto gegenüber dem Vertragspartner in Form der Gewährleistung vernetzten Dienste zu ermöglichen oder zu verbessern. Ziel ist es, neben der Optimierung des Fahrerlebnisses auch auf einer Makroebene die erhobenen Daten zu übergreifenden Zwecken, etwa mit Hilfe von Big-Data–Anwendungen, weiterzuverwenden, wobei insbesondere die Weiterverwendung als Trainingsdaten von hervorgehobener kommerzieller Relevanz ist, um mit Mitteln des „Fine Tunings“ die kommerzielle Weiterverwertung zu ermöglichen. „Fine Tuning“ umschreibt technische Mittel zur Anpassung von KI-Modellen durch eine Feinabstimmung des Modells.4 Diese ist notwendig, um bestimmte Aufgaben, insbesondere in internen Geschäftsabläufen eines Unternehmens, angepasst erfüllen zu können.5 Der Normtext der KI-VO6 selbst greift das Fine Tuning als Nutzungskonstellation nicht auf, es wird jedoch recht allgemein in den Erwägungsgründen (vgl. etwa Erwägungsgrund 109 S. 3) erwähnt. Neben Nutzerdaten werden typischerweise auch Daten aus externen Quellen zur Ergänzung für das KI-Training zu Zwecken der Veredelung des Outputs verwendet.7 Insgesamt werden zu diesem Zwecke quantitativ breite Datensätze in einer hohen Qualität zur Optimierung von KI-Systemen benötigt.8 Dabei kann es sowohl zu einer Verarbeitung selbst erhobener personenbezogener Daten als auch zu einer Verarbeitung durch erworbene Daten von Dritten kommen.
2. Verhältnis von DSGVO und KI-VO
Wie bereits dargelegt, ist eine besonders wichtige technische Weiterverwendung erhobener personenbezogener Daten die Nutzung als Trainingsdaten für die Erstellung und Verbesserung eigener KI-Systeme. Dies setzt als eine weitere Verarbeitungshandlung eine eigenständige Rechtsgrundlage wegen des präventiven Verbots mit Erlaubnisvorbehalt (sofern es sich nicht um anonymisierte Daten handelt, die aus dem Anwendungsbereich der DSGVO herausfallen) voraus. Die KI-VO lässt nämlich die datenschutzrechtlichen Anforderungen der DSGVO unberührt, weshalb ihre Rechtmäßigkeitsanforderungen nicht verdrängt werden (vgl. Art. 2 Abs. 7 S. 2 KI-VO).9 Damit gilt auch für KI-bezogene Datenverarbeitungen immer noch das präventive Verbot mit Erlaubnisvorbehalt und die damit einhergehende Rechtfertigungsbedürftigkeit. Die KI-VO regelt nämlich anders als die DSGVO besonderes Produktsicherheitsrecht (Product Compliance).10 Die KI-VO konzentriert sich damit auch auf typisierte Risikobewertungen und die Anordnung von Maßnahmen zur Eindämmung solcher Risiken.11 Die Gefährdungslagen für die Rechte und Freiheiten personenbezogener Daten hingegen unterliegen damit immer noch dem Schutzregime und damit dem hohen Schutzniveau der DSGVO. Angeordnete Ausnahmen und damit eine gewisse Schutzzwecküberschneidung bilden Art. 10 Abs. 5 und 59 KI-VO, wobei es bei diesen keine formelle Vorrangsregelung gibt.12
III. Weiterverarbeitung erhobener personenbezogener Daten
Nachfolgend werden die konkreten datenschutzrechtlichen Anforderungen für ein DSGVO-konformes KI-Training skizziert. Dabei wird zunächst die zweckmäßigste Rechtsgrundlage für die Datenverarbeitung bestimmt, woraufhin im nächsten Schritt die konkreten Anforderungen herausgearbeitet werden.
1. Zweckmäßige Rechtsgrundlage für die Verarbeitung personenbezogener Daten als KI-Trainingsdaten
Nachdem die Frage der Notwendigkeit der Einhaltung der Anforderungen der DSGVO geklärt ist, stellt sich die Frage der Auswahl der zweckmäßigsten Rechtsgrundlage für die Datenverarbeitung im Hinblick auf die Interessenlage der datenverarbeitenden Automobilhersteller.
a) Weiterverwendung auf Basis von Art. 6 Abs. 4 DSGVO
Eine Verarbeitung personenbezogener Daten für einen anderen als den ursprünglichen Zweck (Zweckänderung) mit einer Sekundärnutzung ist grundsätzlich nur unter den weiteren Voraussetzungen von Art. 6 Abs. 4 DSGVO möglich. Diese Verarbeitungsbegrenzung ergibt sich in Bezug auf den Schutzzweck aus dem Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b DSGVO.13 Um zu bestimmen, ob im Einzelfall eine Zweckänderung vorliegt, sind der originäre Zweck der Erhebung und der Weiterverarbeitung miteinander zu vergleichen, wonach abhängig von der Enge oder Weite der ursprünglichen Zielsetzung eine Prüfung vorzunehmen ist.14 Im Bereich der digitalen Individualmobilität kommen insbesondere erhobene Daten über die Sensoren, sowie das Fahrt- und Nutzungsverhalten in räumlicher und zeitlicher Hinsicht für eine Weiterverwendung zu Trainingszwecken in Betracht. Die Weiterverwendung dieser Informationen kann auf einer Makroebene Erkenntnisse für die technische Produktentwicklung als auch für die Entwicklung und Anpassung von Software liefern. Bei der Zweckänderung ist jedoch im Einzelnen umstritten, ob es sich um eine eigenständige Rechtsgrundlage mit einem selbstständigen Anwendungsbereich handelt oder ob stets auch noch ein weiterer Rechtfertigungsgrund hinzutreten muss. Für einen eigenständigen Anwendungsbereich kann dabei die umfassende Pflichtenübersicht herangezogen werden, die sich in Art. 6 Abs. 4 DSGVO wiederfindet.15 Darüber hinaus sei dies auch mit Blick auf die Interessen der betroffenen Personen auch nicht unbillig, da die Frage der Vereinbarkeit des ursprünglichen Primärzwecks mit dem Sekundärzweck zu einer inhaltlichen Begrenzung der Handlungsmöglichkeiten des datenschutzrechtlich Verantwortlichen führt und dies vollumfänglich überprüfbar ist.16 Weiterhin wird dieses Auslegungsergebnis auch durch den Erwägungsgrund 50 S. 2 DSGVO belegt, der explizit aussagt, dass die aufgeführte Konstellation keiner gesonderten Rechtsgrundlage bedarf.17
b) Auswahl der Rechtsgrundlagen in Art. 6 Abs. 1 S. 1 DSGVO
Mit Blick auf die erhöhten Anforderungen des Art. 6 Abs. 4 DSGVO erscheint es aus Sicht der datenverarbeitenden Stellen zweckmäßiger, die Datenverarbeitung als eine eigenständige Datenverarbeitung zu gestalten, auf Basis von Art. 6 Abs. 1 S. 1 lit. f DSGVO, anstatt sie als Weiterverarbeitung mit Blick auf die Anforderungen von Art. 6 Abs. 4 DSGVO zu gestalten.18 Art. 6 Abs. 1 S. 1 lit. f DSGVO ist in diesem Zusammenhang die zentrale Rechtsgrundlage für die Verwendung personenbezogener Daten als KI-Trainingsdaten.19 Dieser eignet sich als eine besonders zweckmäßige Rechtsgrundlage, da er anders als Art. 6 Abs. 1 S. 1 lit. a (Einwilligung) und b (Erfüllung eines Vertrags) DSGVO keine aktive Willensbetätigung auf Seiten der betroffenen Person erfordert. In Bezug auf die datenschutzrechtliche Einwilligung können die strengen Anforderungen nach Art. 7 DSGVO wie etwa die Informiertheit oder auch das Kopplungsverbot gem. Art. 7 Abs. 4 DSGVO umgangen werden. Darüber hinaus ist die Einwilligung als Rechtsgrundlage auch unpraktikabel mit Blick auf den Einholungs- und Dokumentationsaufwand sowie die Beweisverteilung im Streitfall (vgl. Art. 7 Abs. 1 DSGVO).20 Weiterhin ist auch die Ex-nunc-Widerrufbarkeit ein erhebliches wirtschaftliches Risiko im Hinblick auf einen technisch nur sehr schwer umsetzbaren Löschungsanspruch nach Art. 17 DSGVO im Zusammenhang mit KI-Modellen.21 Im Gegensatz zu Art. 6 Abs. 1 S. 1 lit. b DSGVO liegen die Anforderungen an die Zweckbindung niedriger, da diese dort durch den Inhalt des Vertrags und nicht bestimmt werden durch die überwiegenden berechtigten Interessen des datenschutzrechtlich Verantwortlichen. Bei der Wahl der Zweckmäßigkeit ist jedoch darauf zu achten, dass nicht besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet werden, bei denen die Einwilligung aus Sicht des datenverarbeitenden Unternehmens quasi alternativlos ist.22 Dies schafft speziell im Bereich der Gesundheitswirtschaft erhöhte Anforderungen an die Sammlung von Trainingsdaten.
2. Allgemeine Anforderungen von Art. 6 Abs. 1 S. 1 lit. f DSGVO
Anders als bei den anderen beiden vorgenannten Rechtfertigungsgründen bedarf es für den generalklauselartigen Tatbestand der überwiegenden berechtigten Interessen keines aktiven Willensentschlusses durch die betroffene Person. Mit Blick auf diesen offenen Tatbestand ist im weiteren Fortgang konkret zu beleuchten, unter welchen Umständen personenbezogene Daten auf dieser Rechtsgrundlage unter Beachtung der aktuellen Entwicklungen der Rechtsprechung möglich sind. In der Rechtsprechung hat sich auf Basis der Tatbestandsmerkmale der Norm ein dreistufiges Prüfprogramm etabliert. Zunächst muss vom Verantwortlichen oder von einem Dritten das für die Verarbeitung notwendige berechtigte Interesse wahrgenommen werden, im nächsten Schritt muss die Erforderlichkeit der Verarbeitung personenbezogener Daten zur Verwirklichung des berechtigten Interesses bestimmt werden und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen.23
a) Anforderungen an das berechtigte Interesse
Das berechtigte Interesse ist dabei nicht auf gesetzlich verankerte oder bestimmte Interessen beschränkt, die äußere Grenze ist jedoch die rechtliche Zulässigkeit.24 Für den konkreten Fall maßgeblich sind die wirtschaftlichen Interessen auf Seiten des Verantwortlichen, die der EuGH in seiner Rechtsprechung explizit als einschlägig erachtet.25 Dabei ist auch darauf hinzuweisen, dass den Verantwortlichen auch die Informationspflicht gem. Art. 13 Abs. 1 lit. d DSGVO trifft, über die zugrunde gelegten berechtigten Interessen zu informieren. Sollte der Verantwortliche dem nicht nachkommen, kann die legalisierende Wirkung von Art. 6 Abs. 1 S. 1 lit. f DSGVO entfallen.26 Abgeleitet aus Art. 5 DSGVO trägt der Verantwortliche die Beweislast dafür, dass die Daten auf eine rechtmäßige Art für eindeutige und legitime Zwecke verwendet werden.27
b) Erforderlichkeit
Die Erforderlichkeit setzt voraus, dass es kein ebenso wirksames anderes Mittel gibt, mit dem das Ziel erreicht werden könnte, wodurch weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, konkret die durch die Art. 7 und 8 GRCh28 eingegriffen wird.29 Die Erforderlichkeit steht in einem engen Zusammenhang mit dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO, weshalb diese auch gemeinsam zu prüfen sind.30 Dieser Grundsatz verlangt, dass die Verarbeitung personenbezogener Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss.31
c) Interessenabwägung
Bei der grundsätzlich von den konkreten Umständen des Einzelfalls abhängigen Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen ist es geboten, eine Abwägung unter Berücksichtigung der spezifischen Umstände des Einzelfalles vorzunehmen.32
3. Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage für die Verwendung als KI-Trainingsdaten
Aus Sicht der datenverarbeitenden Unternehmen kann als berechtigtes Interesse im Zusammenhang mit der Weiterverwendung der Informationen als Trainingsdaten für KI exemplarisch (neben weiteren denkbaren Erwägungen) das Interesse an der Effektuierung und Optimierung der automatisierten Profilbildung in Betracht kommen, was als nachvollziehbare wirtschaftliche Erwägung berücksichtigungsfähig ist.33 Auf der anderen Seite wiegen die Interessen von den (hier typisiert betroffenen) Einzelpersonen auch nicht besonders schwer, da es auf Basis des Modells aller Wahrscheinlichkeit nach keine Rückschlüsse auf Individuen gibt und Kollektivinteressen von ganzen Personengruppen nicht berücksichtigungsfähig sind.34 Für die notwendige Erforderlichkeit auf Seiten der datenverarbeitenden Stellen ist weiterhin zu berücksichtigen, dass Big-Data–Anwendungen abhängig von großen Datenmengen sind.35 Eine restriktive Auslegung und Interessengewichtung kann sich also im Ergebnis sogar innovationshemmend auswirken. Mit Blick auf die zugrunde liegende Interessenlage beim Training von KI mit personenbezogenen Daten hat der EDSA in einer Stellungnahme nach Art. 64 DSGVO die Position geäußert, dass Art. 6 Abs. 1 S. 1 lit. f DSGVO grundsätzlich in Betracht kommt als Rechtsgrundlage für die Weiterverwendung personenbezogener Daten für das Training von KI.36 Dabei stellt er differenzierte Anforderungen für die Verwendung solcher Daten und der Anforderung an das Vorliegen rechtmäßiger Datenverarbeitungen auf. Zur Anwendung der Grundsätze über die datenschutzrechtlichen Anforderungen des KI-Trainings hat das OLG Köln jüngst für den Bereich der sozialen Netzwerke entschieden.
4. Aktuelle Entwicklungen durch die Meta-Entscheidung des OLG Köln
a) Ausgangslage im zu entscheidenden Fall
In diesem Kontext gab es in jüngster Zeit Rechtsprechung im Zusammenhang mit Meta, die auf Basis von Art. 6 Abs. 1 S. 1 lit. f DSGVO Nutzerdaten als KI-Trainingsdaten zu einem bestimmten Stichtag unter Nutzung einer Opt-Out–Option als Widerspruchsmöglichkeit verwenden wollte. Dieses Vorgehen hatte Meta auch mit einigem Vorlauf angekündigt. Dem Urteil lag ein Verfahren im einstweiligen Rechtsschutz, gerichtet auf den Erlass einer einstweiligen Anordnung durch einen Verbraucherverband nach dem UKlaG zur Unterlassung dieser Datenverarbeitung, zugrunde.37 Demzufolge liegt der Entscheidung trotz ihres Urteilscharakters bloß ein summarischer Prüfungsmaßstab zu Grunde, was von erheblicher Bedeutung für die Einordnung der Prüfungsdichte und der Bedeutung der gerichtlichen Entscheidung für weitere Folgeprozesse ist.38
b) Wesentliche Gesichtspunkte der Entscheidung
Das OLG Köln hat im Ergebnis angenommen, dass die Voraussetzungen des Rechtfertigungsgrundes gem. Art. 6 Abs. 1 lit. f DSGVO nach einer summarischen Prüfung des dargelegten Sachverhaltes vorliegen.39 Im Falle von Meta wurde vorgetragen, dass die eingesetzten personenbezogenen Daten verwendet werden würden, um einen Sprachassistenten mit Hilfe von generativer KI zu verbessern.40 Dies ist nach Ansicht des Gerichts ein Interesse, das hinreichend konkret bestimmt ist und nicht bloß spekulativen Charakter hat.41 Die Erforderlichkeit wurde seitens Meta durch das Mittel der Versicherung an Eides statt glaubhaft gemacht (vgl. § 294 ZPO) und damit hinreichend substantiiert dargelegt, dass es keine weniger einschneidenden Mittel im hiesigen Fall gäbe, die zur Verfügung stünden.42 Vor diesem Hintergrund zieht das OLG Köln die Wertung von Erwägungsgrund 105 S. 2 KI-VO bei der Würdigung der Umstände des Einzelfalles heran, welcher klarstellt, dass es anerkannt ist, dass es für das Training generativer KI-Modelle notwendig ist, große Datenmengen zu verarbeiten.43 Insoweit ließe sich auf Basis synthetischer Daten kein Output mit vergleichbarer Qualität generieren.44 Insbesondere ließe sich mit den sog. „Flywheel Data“ kein qualitativ vergleichbarer Output generieren.45 Darüber hinaus waren im Konkreten nur sog. „First Party Data“, also öffentlich zugängliche Daten von volljährigen Personen, sowie von Institutionen umfasst.46 Weiterhin sind bei der Bewertung der Intensität der Beeinträchtigung auch die getroffenen abschirmenden Maßnahmen zu bewerten, wobei speziell auch die empfohlenen Maßnahmen aus der Stellungnahme des baden-württembergischen Landesdatenschutzbeauftragten zu den datenschutzrechtlichen Rechtsgrundlagen beim Einsatz Künstlicher Intelligenz47 abgestellt wird.48 Meta konnte dabei glaubhaft machen, technische, physische und organisatorische Vorkehrungen gegen einen unberechtigten Zugriff und zur Risikominderung getroffen zu haben.49 Darüber hinaus haben die Nutzer durch ihre Widerspruchsmöglichkeiten eingeräumt, die sich auch eingriffsmindernd auswirken.50
5. Auswirkungen der datenschutzrechtlichen Rollenverteilung
Die Bestimmung der Konstellation des Rechtsverhältnisses mit weiteren Akteuren auf Seiten des Verantwortlichen ist von erheblicher Auswirkung für die rechtliche Einordnung der Verarbeitungssituation und für die Rollenverteilung im Hinblick auf eine mögliche gemeinsame Verantwortlichkeit nach Art. 26 DSGVO oder eine Auftragsverarbeitung gem. Art. 28 DSGVO.51 Die KI-VO selbst trifft keine gesonderte Regelung, womit auf die Regelungsinstrumente der DSGVO ohne die Ermittlung eines Vorrangs bzw. eines Konkurrenzverhältnisses durch Auslegung im Einzelfall zugegriffen werden kann. Die Zuordnung der jeweiligen Akteure basiert auf einem anderen Regelungskonzept wegen des primär produktregulatorischen Charakters der KI-VO.52 Die Einbeziehung des Auftragsverarbeiters erfolgt allein auf Grund eines Willensentschlusses des Verantwortlichen, weshalb der Auftragsverarbeiter auch keine eigenen Interessen verfolgt.53 Auf dieser Basis lässt sich eine kaum vorstellbare Fallgruppenbildung bei der Anwendung dieser sehr offen formulierten und wertungsbedürftigen Grundsätze erahnen. So liegt in der Regel beim Verwenden einer KI über die Verbindung durch eine Cloudinfrastruktur in der Regel eine Auftragsverarbeitung vor.54 Eine Kooperation mehrerer Automobilhersteller zum Zwecke der Bewerbung von Elektromobilität, bei der diese eine Website gemeinsam aufsetzen und bei der Nutzerdaten gesammelt werden (wie etwa IP-Adressen), wäre hingegen als gemeinsame Verantwortlichkeit einzuordnen.55 Die Auftragsverarbeitung hat die Konsequenz, dass dieser die erhobenen personenbezogenen Daten nicht zu eigenen Zwecken verwenden darf und sie deshalb auch nicht als Trainingsdaten für weitere KI-Anwendungen verwendet werden können.56 Dies schränkt technische Handlungsmöglichkeiten bei der Ausgestaltung der Handlungsmöglichkeiten mit Blick auf die konkret dominierenden Zweckmäßigkeitserwägungen unter Umständen ein.
IV. Zwischenfazit
Der generierte Output von trainierten KI-Modellen hat eine erhebliche wirtschaftliche Relevanz für das Erkennen neuer Trends und für die Schaffung von Dienstleistungen, die davon leben, durch große Datenmassen gespeist zu werden, was sich auch an dem Beispiel der Staudatenanalyse als eine etablierte Form der Verarbeitung personenbezogener Daten im Bereich der Individualmobilität zeigt.57 Auf Basis der Entscheidung des OLG Köln zeigt sich auch, welche Bedeutung die Veröffentlichungen der Datenschutzaufsichtsbehörden haben können und dass diese eine erhebliche praktische Relevanz im Streitfall haben, was sich auch daran zeigt, dass sogar die OLG-Rechtsprechung sich an diesen orientiert. Dies kann losgelöst von dem konkreten Sachverhalt, bei dem es um soziale Netzwerke geht, als ein allgemeines Indiz für eine rechtssichere Weiterverwendung der personenbezogenen Daten zu Trainingszwecken herangezogen werden. Insgesamt dürfte die Position von Unternehmen, die personenbezogene Daten im Zusammenhang mit KI-Modellen verarbeiten, sich durch die Entscheidung verbessert haben.
V. Schlussbetrachtung
Neben den Maßstäben der regulatorischen Compliance sind für die Fragen der Risikoabwägung auch die im Raum stehenden Durchsetzungs- und Schutzmechanismen sowie die drohenden Konsequenzen nach Datenschutzverstößen aus verschiedenen Bereichen von entscheidender Bedeutung. Dabei sind bei der Risikobewertung auch die spezifischen wirtschaftlichen Umstände von Automobilherstellern zu berücksichtigen.
1. Rechtsdurchsetzungsmechanismen der DSGVO und aktuelle Entwicklungen in der Rs. Quirin Privatbank
In Bezug auf die Rechtsdurchsetzungsmechanismen ergeben sich praktische Risiken aus der Möglichkeit des Schadenersatzes nach Art. 82 DSGVO sowie der Befugnis zur Sanktion durch Geldbußen gem. Art. 83 DSGVO. Dabei ist vor allem auch die aktuelle Rechtsprechung zu immateriellen Schadenersatzansprüchen nach Art. 82 Abs. 1 DSGVO zu berücksichtigen. So hat der EuGH in seiner jüngsten Entscheidung zum „immateriellen Schadenersatz“ nach Art. 82 Abs. 1 DSGVO in der Rs. Quirin Privatbank entschieden, dass der Begriff des immateriellen Schadenersatzes unter der DSGVO auch „negative Gefühle“ umfassen kann, die die Person im Rahmen einer unbefugten Übermittlung an Dritte hat.58 Zwar handelt es sich beim immateriellen Schadenersatz um eine Materie mit einer dynamischen Entwicklung bei den nationalen Gerichten, sowie dem EuGH. Gleichzeitig handelt es sich um Entwicklungen, die unter Umständen zu einer weiteren Herabsenkung der Haftungsschwelle aus Sicht von datenverarbeitenden Unternehmen führen können. Weiterhin hat der EuGH in dieser Entscheidung auch auf seine bereits bestehende Rechtsprechung verwiesen, dass es für die Geltendmachung eines immateriellen Schadenersatzes nach Art. 82 DSGVO nicht der Überschreitung einer gewissen Bagatellschwelle durch einen Mindestgrad an Erheblichkeit bedarf.59 Gleichzeitig haben jedoch Datenschutzverstöße wegen ihres Charakters als Streuschäden ein wirtschaftlich relevantes Risiko in die Breite, wegen der relativ hohen Menge an betroffenen Endnutzern bei angegriffenen Fahrzeugen, etwa wenn die Voraussetzungen für die Datenverarbeitung, die formularmäßig verwendet werden, nicht vorliegen oder es einen Data Breach nach einem Hackerangriff gab, bei dem es im Nachgang auf den Nachweis der Ordnungsgemäßheit der TOMs geht.60 In der Vergangenheit haben sich zum Zwecke der kollektiven Durchsetzung von Forderungen nach Data Breaches einige Legal-Tech-Anbieter in diesem Bereich organisiert, die zum Teil sehr aggressiv für ihr Geschäft werben.61 Dabei ist auch die besondere Situation der Beweisverteilung bei Datenverarbeitungen in der Risikobewertung zu berücksichtigen. Art. 5 Abs. 2, 24 DSGVO ordnet in diesem Zusammenhang eine umfassende Rechenschaftspflicht gegenüber dem datenschutzrechtlich Verantwortlichen an. Praktisch führt diese Rechenschaftspflicht zu einer Beweislastumkehr zu Lasten des Verantwortlichen.62 Dies wirkt sich auch auf die Beweisverteilung im Schadenersatzprozess zu Gunsten des Anspruchsberechtigten in seiner Prozessrolle als Kläger durch eine Beweislastumkehr aus.63 Zentrales Argument für die Beweislastumkehr auf der Ebene des haftungsbegründenden Tatbestandes ist die Informationsasymmetrie zwischen Anspruchsteller und Anspruchsgegner in Bezug auf die internen Verarbeitungsvorgänge sowie die Verantwortlichkeitszuweisung.64 Ohne die Annahme einer solchen Beweislastumkehr wäre die praktische Wirksamkeit (nach dem effet utile als unionalem Auslegungsgrundsatz) nach Art. 4 Abs. 3 EUV erheblich beeinträchtigt.65 Dieser Erwägung kommt insbesondere im Zusammenhang mit komplexen KI-Modellen eine gesteigerte Bedeutung wegen der technisch-organisatorischen Komplexität innerhalb der Verarbeitungsprozesse beim KI-Training zu.
2. Lauterkeitsrechtliche Durchsetzungsinstrumente
Lauterkeitsrechtliche Risiken mit Blick auf Verstöße gegen die DSGVO66 als Marktverhaltensnorm nach § 3a UWG67 dürften im Bereich des Wettbewerbs auf dem Markt der Personenkraftfahrzeuge ein zu vernachlässigendes Risiko sein. Dies ergibt sich daraus, dass die wirtschaftliche, rechtliche und technische Interessenlage der jeweiligen Automobilhersteller sehr ähnlich zueinander ist, womit sie sich auch gegebenenfalls einem rechtlichen Risiko durch eine Gegenabmahnung aussetzen würden, wenn sie einen Mitbewerber nach § 13 Abs. 1 UWG abmahnen würden. Zumal auch ein etwaiger Aufwendungsersatzanspruch nach § 13 Abs. 3 UWG wegen der Anordnung in § 13 Abs. 4 Nr. 2 UWG ausgeschlossen ist, womit eine Geltendmachung eines etwaigen Unterlassungsanspruchs auch kostenmäßig unzweckmäßig erscheint. Etwaige Risiken mit Blick auf lauterkeitsrechtliche Individualansprüche von Verbrauchern gem. § 9 Abs. 2 UWG sind mit Blick auf den Ausschluss des Rechtsbruchstatbestandes nach § 3a UWG gem. § 9 Abs. 2 S. 2 UWG fernliegend. Risiken durch Klagen von Verbraucherverbänden auf Basis des UKlaG sind jedoch als ein relevantes kommerzielles Risiko einzuschätzen, was auch durch das Verfahren vor dem OLG Köln sowie das ebenfalls erfolglose Verfahren vor dem OLG Schleswig68 belegt wird. In diesem Zusammenhang ist jedoch zu berücksichtigen, dass das OLG Schleswig den Antrag wegen einer fehlenden Dringlichkeit gem. § 5 UKlaG, § 12 UWG abgelehnt hat.69 Die Verfügungsklägerin hat nämlich trotz der Ankündigungen seitens der Verfügungsbeklagten bis einen Monat nach Beginn der angekündigten Datenverarbeitung gewartet, um gerichtlich dagegen vorzugehen.70 Der Erfolg der Beklagtenseite ist daher nicht auf materiell-rechtliche Erwägungen zurückzuführen, sondern nur auf ein Zeitmoment, womit keine inhaltliche Wertung einhergeht. Die Verbandsklagen durch Verbraucherverbände nach dem UKlaG bilden damit ein erhebliches wirtschaftliches Risiko, speziell vor dem Hintergrund des bloß summarischen Prüfungsmaßstabes im Eilverfahren, der allenfalls ein Indiz für eine etwaige Hauptsacheentscheidung sein kann.
3. Kommerzielle Risiken aus Sicht der datenverarbeitenden Unternehmen
Es sind jedoch nicht bloß die unmittelbaren finanziellen Einbußen durch die Zahlung von Schadenersatzzahlungen nach Art. 82 DSGVO oder Geldbußen gem. Art. 83 DSGVO als wirtschaftliches Risiko zu betrachten, sondern auch die Gefahr, dass die Publikmachung eines Datenschutzvorfalles zu einer Abwanderung der Kundschaft an andere Hersteller führen kann. Die Öffentlichkeit und auch betroffene Personen können von einem solchen Vorfall durch die Erfüllung der gesetzlichen Meldepflichten nach Art. 33 und 34 DSGVO Kenntnis erlangen. Diese Öffentlichkeit kann zu einem „Naming and Shaming“-Effekt zu Lasten der datenverarbeitenden Automobilhersteller führen.71 Diese negative Öffentlichkeit kann zur Ausübung vertraglicher oder gesetzlicher Kündigungsrechte führen. Dies wird auch durch das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO in technischer Hinsicht erleichtert werden, da auf diesem Wege „Lock-in-Effekte“ beseitigt werden.72 In volkswirtschaftlicher Hinsicht soll zwischen den Akteuren auf dem Markt auch ein Anreiz für mehr Wettbewerb gegeben werden und zur Entwicklung und Verwendung kompatibler und übertragbarer Datenformate.73 Damit wären Wechsel zu anderen Anbietern grundsätzlich möglich, wobei auch hier die wirtschaftliche Interessenlage mit Blick auf den Restwert auf dem Sekundärmarkt für Automobile sowie weitere Kompatibilitätsfragen aus Sicht der betroffenen Nutzer zu beachten sind. Diese Form von „Naming and Shaming“ in Folge von Datenschutzvorfällen kennt man bereits aus Kampagnen von Sammelklagenanbietern, die für eine kollektive Organisation der Geltendmachung von Ansprüchen gem. Art. 82 DSGVO stehen.74
4. Perspektiven zum Geschäftsgeheimnisschutz
Die wirtschaftliche Relevanz von Daten im Kontext digitaler Geschäftsmodelle ist von kaum messbarer Bedeutung. Dies gilt umso mehr für den Output von KI-Modellen und das dazugehörige „Fine Tuning“ der ursprünglichen Rohdaten für die geschaffenen Anwendungen im Zusammenhang mit dem Geschäftsgeheimnisschutz. Mit Blick auf den wirtschaftlichen Wert75 des Outputs plädieren auch relevante Stimmen des Schrifttums76 für die Subsumtion von Daten unter den Begriff des Geschäftsgeheimnisses nach Art. 2 Nr. 1 der GeschG-RL.77 Damit aktivieren sich auch die besonderen Schutzvorkehrungen des GeschGehG78 als nationale Umsetzung der Richtlinie zugunsten der datenverarbeitenden Unternehmen. Dies ist speziell im Automobilsektor mit Blick auf die Besonderheiten der umfassenden Erfassung personenbezogener und nicht-personenbezogener Daten durch die Automobilindustrie von einer weitergehenden praktischen Bedeutung.79 Der notwendige wirtschaftliche Wert kann dabei sowohl auf Roh- als auch auf verarbeitete Daten, sowie personenbezogene oder nicht-personenbezogen gegeben sein.80
Dr. Benedict Kreitz
LL.M., Studium der Rechtswissenschaften und des Europäischen Wirtschaftsrechts (LL.M.) an der Europa-Universität Viadrina. Ebendort Promotion zu einem datenschutzrechtlichen Thema bei Prof. Dr. Ines Härtel (Richterin des BVerfG), sowie diverse Publikationen. Referendariat in Berlin bis 2025 mit Stationen bei NOERR und TaylorWessing. © Foto Schwenzer
Mehr über den Autor erfahren Sie am Ende des Beitrags.
Bui/Hogh, MMR 2025, 608, 610.
Bui/Hogh, MMR 2025, 608, 610.
VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung).
Voigt/Hullen, Handbuch KI-VO, 2024, S. 144; Blum/Rappenglück, CR 2024, 626, 629.
Blum/Rappenglück, CR 2024, 626, 629.
VO (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. 6. 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz).
Hense/Wagner, DuD 2025, 373, 377.
Siems/Repka, ZdiW 2021, 363, 363.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 50.
Voigt/Hullen (Fn. 4), S. 1; Blum/Rappenglück, CR 2024, 626, 626.
Nebel/Geminn, DuD 2025, 279, 280.
Nebel/Geminn, DuD 2025, 279, 280.
Voigt/v. d. Busche, Praktikerhandbuch Datenschutzrecht, 2. Aufl. 2024, S. 405; Thode, in: Schläger/Thode, Hdb. Datenschutz u. IT-Sicherheit, 2022, Kap. A. Rn. 127.
Schaufler, Regulierung von Systemen künstlicher Intelligenz durch die DSGVO, S. 252.
Kramer, in: Auernhammer, DSGVO/BDSG, 8. Aufl. 2023, Art. 6 DSGVO Rn. 98.
Kramer, in: Auernhammer (Fn. 15), Art. 6 DSGVO Rn. 100.
Menke, Handbuch Kundendatenschutz, 2022, S. 299.
Vgl. dazu OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 54 m. w. N. zu anderen Meinungen im Schrifttum zu einer Einordnung nach Art. 6 Abs. 4 DSGVO.
Voigt/Hullen (Fn. 4), S. 201; ähnlich: Vogel, Künstliche Intelligenz und Datenschutz, S. 99; v. Dietze, DuD 2025, 355, 357 geht sogar davon aus, dass es sich um den einzig praktikablen Rechtfertigungsgrund handle.
Siems/Repka, ZdiW 2021, 363, 368.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 79; Zirnstein/Tepe, K&R 2025, 552, 555; näher zu den Problemen der praktischen Umsetzung einer solchen Obliegenheit Nebel/Geminn, DuD 2025, 279, 280.
Siems/Repka, ZdiW 2021, 363, 368.
Exemplarisch: EuGH, 4. 7. 2023 – C-252/21, K&R 2023, 492 ff. = ECLI:EU:C:2023:537, Rn. 106 – Meta; EuGH, 4. 10. 2024 – C-621/21, ECLI:EU:C:2024:858, Rn. 37 – Koninklijke Nederlandse Lawn Tennisbond; EuGH, 9. 1. 2025 – C-394/23, K&R 2025, 96 ff. = ECLI:EU:C:2025:2, Rn. 45 – Mousse.
EuGH, 9. 1. 2025 – C-394/23, K&R 2025, 96 ff. = ECLI:EU:C:2025:2, Rn. 46 – Mousse; EuGH, 4. 10. 2024 – C-621/21, ECLI:EU:C:2024:858, Rn. 38, 40 – Koninklijke Nederlandse Lawn Tennisbond.
EuGH, 4. 10. 2024 – C-621/21, ECLI:EU:C:2024:858, Rn. 47 – Koninklijke Nederlandse Lawn Tennisbond.
EuGH, 9. 1. 2025 – C-394/23, K&R 2025, 96 ff. = ECLI:EU:C:2025:2, Rn. 52 – Mousse.
EuGH, 4. 10. 2024 – C-621/21, ECLI:EU:C:2024:858, Rn. 33 – Koninklijke Nederlandse Lawn Tennisbond.
Charta der Grundrechte der Europäischen Union (2000/C 364/01).
EuGH, 4. 10. 2024 – C-621/21, ECLI:EU:C:2024:858, Rn. 42 – Koninklijke Nederlandse Lawn Tennisbond; EuGH, 4. 7. 2023 –C-252/21, K&R 2023, 492 ff. = ECLI:EU:C:2023:537, Rn. 108.
EuGH, 9. 1. 2025 – C-394/23, K&R 2025, 96 ff. = ECLI:EU:C:2025:2, Rn. 49 – Mousse; EuGH, 4. 7. 2023 – C-252/21, K&R 2023, 492 ff. = ECLI:EU:C:2023:537, Rn. 109 – Meta.
EuGH, 9. 1. 2025 – C-394/23, K&R 2025, 96 ff. = ECLI:EU:C:2025:2, Rn. 50 – Mousse; EuGH, 4. 7. 2023 – C-252/21, K&R 2023, 492 ff. = ECLI:EU:C:2023:537, Rn. 109 – Meta.
EuGH, 4. 10. 2024 – C-621/21, ECLI:EU:C:2024:858, Rn. 44 – Koninklijke Nederlandse Lawn Tennisbond; EuGH, 4. 7. 2023 – C-252/21, K&R 2023, 492 ff. = ECLI:EU:C:2023:537, Rn. 110 – Meta.
Schaufler (Fn. 14), S. 252.
Schaufler (Fn. 14), S. 281.
Schaufler (Fn. 14), S. 282.
EDSA Stellungnahme 28/2024.
Unterlassungsklagengesetz in der Fassung der Bekanntmachung vom 27. 8. 2002 (BGBl. I S. 3422, 4346), das zuletzt durch Art. 18 des Gesetzes vom 6. 5. 2024 (BGBl. 2024 I Nr. 149) geändert worden ist.
Dies ebenso einordnend: Zirnstein/Tepe, K&R 2025, 552, 555.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 57.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 62.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 62.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 71.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 73.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 73.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 73.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 77.
Landesbeauftragter BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz v. 17. 10. 2024.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 81.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 83.
OLG Köln, 23. 5. 2025 – 15 UKl 2/25, K&R 2025, 498 ff. = openJur 2025, 14733, Rn. 84.
Siems/Repka, ZdiW 2021, 363, 368.
Nebel/Geminn, DuD 2025, 279, 281.
Schreibauer, in: Auernhammer (Fn. 15), Art. 26 DSGVO Rn. 13.
Voigt/Hullen (Fn. 4), S. 210.
Beispiel nach.: Voigt/v d. Busche (Fn. 13), S. 59.
Voigt/Hullen (Fn. 4), S. 210.
Sackmann, Datenschutz bei der Digitalisierung der Mobilität, S. 93 ff.
EuGH, 4. 9. 2025 – C-655/23, ECLI:EU:C:2025:655, Rn. 57 – Quirin Privatbank.
EuGH, 4. 9. 2025 – C-655/23, ECLI:EU:C:2025:655, Rn. 58 – Quirin Privatbank.
Näher zur Streuschadenthematik und den Möglichkeiten der kollektiven Geltendmachung: Kreitz, WRP 2023, 156, 159 f.
Näher zu den Abtretungsmodellen in diesem Kontext: Kreitz, ITRB 2023, 51 ff.
Kramer, in: Auernhammer (Fn. 15), Art. 5 DSGVO Rn. 66.
Kramer, in: Auernhammer (Fn. 15), Art. 5 DSGVO Rn. 66; Wessels, DuD 2019, 781, 782; Kreitz, WRP 2023, 156, 159 m. w. N.; gegen die Einordnung als eine allgemeine Beweislastumkehr, sondern eher für eine Zusammenschau der weiteren Informationspflichten zur Beweiserleichterung: Voigt/v. d. Busche (Fn. 13), S. 348; ebenso differenziert: Aliprandi, Datenschutzrechtlicher Schadenersatz nach Art. 82 DSGVO, S. 481.
Kreitz, WRP 2023, 156, 159 m. w. N.
Kreitz, WRP 2023, 156, 159.
Näher zum wettbewerbsschützenden Charakter der DSGVO und zur Möglichkeit der Abmahnung: EuGH, 4. 10. 2024 – C-21/23, K&R 2024, 795 ff. = ECLI:EU:C:2024:846, Rn. 46 ff. – Lindenapotheke.; Kreitz, ITRB 2022, 182 ff.; näher zu lauterkeitsrechtlichen Verbandsklagen im datenschutzrechtlichen Kontext: Kreitz, IPRB 2023, 124 ff.
Gesetz gegen den unlauteren Wettbewerb in der Fassung der Bekanntmachung vom 3. 3. 2010 (BGBl. I S. 254), das zuletzt durch Art. 21 des Gesetzes vom 6. 5. 2024 (BGBl. 2024 I Nr. 149) geändert worden ist.
OLG Schleswig, 12. 8. 2025 – 6 UKl 3/25.
OLG Schleswig, 12. 8. 2025 – 6 UKl 3/25, juris, Rn. 43 ff.
OLG Schleswig, 12. 8. 2025 – 6 UKl 3/25, juris, Rn. 46.
Näher zum Naming and Shaming: Kreitz, Beihilfentransparenz und Datenschutz, S. 163 f. m. w. N.
Kraus/Robrahhn/v. Pape/Zelle, DuD 2017, 217, 219.
Voigt/v. d. Busche (Fn. 13), S. 292.
Kreitz, ITRB 2023, 51, 53.
Vertieft zum Tatbestandsmerkmal des wirtschaftlichen Wertes: Bui, Der wirtschaftliche Wert von Geschäftsgeheimnissen, 2024.
Bui/Hogh, MMR 2025, 608, 613.
RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. 6. 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
Gesetz zum Schutz von Geschäftsgeheimnissen vom 18. 4. 2019 (BGBl. I S. 466).
Zu den wirtschaftlichen Besonderheiten in der Automobilindustrie: Bui/Hogh, MMR 2025, 608, 610.
Im Kontext des Data Act: Krause, Rechtsfragen und Regulierung künstlicher Intelligenz, 137, 143 f.