Oberlandesgericht Köln (OLG Köln) har avvisat en ansökan från Verbraucherzentrale NRW e.V. om att förbjuda Meta Platforms Ireland Limited att använda personuppgifter tillhörande europeiska användare i syfte att träna företagets AI-modeller.
Bakgrunden till ärendet är Metas meddelande från april 2025 att företaget kommer använda personuppgifter från sina användares offentliga profiler för att träna företagets AI-modeller från och med den 27 maj 2025. Verbraucherzentrale NRW ville genom ett interimistiskt beslut stoppa Mets behandling av uppgifter om konsumenter och tredje part i offentligt publicerade profiler då konsumentorganisationen ansåg att behandlingen strider mot dataskyddsförordningen (GDPR).
Efter en preliminär och sammanfattande granskning konstaterar OLG Köln att Meta inte har brutit mot bestämmelserna i GDPR eller lagen om digitala marknader (Digital Markets Act, DMA). Denna bedömning överensstämmer med den bedömning som Data Protection Commission (DPC) gjort.
Enligt OLG Köln är den aviserade användningen av uppgifterna för träning av Metas AI-modeller laglig i den mening som avses i artikel 6.1 (f) GDPR, även utan samtycke från de registrerade. Meta eftersträvar ett berättigat intresse genom att använda uppgifterna för träning av företagets AI-modeller. Detta syfte kan enligt OLG Köln inte uppnås genom lika effektiva andra medel som skulle vara mindre påträngande. Det råder ingen tvekan om att stora mängder data krävs för träning, som inte på ett tillförlitligt sätt kan anonymiseras i sin helhet. Vid en avvägning mellan användarnas rättigheter och Meta som operatör väger enligt OLG Köln intresset av personuppgiftsbehandling tyngst.
Denna nuvarande bedömning baseras bland annat på ett yttrande från Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) från december 2024, som Meta har tagit hänsyn till genom olika åtgärder. Endast offentligt tillhandahållna uppgifter som också kan hittas av sökmotorer ska behandlas. Det faktum att stora mängder data, även från tredje part inklusive minderåriga och även känsliga uppgifter i den mening som avses i artikel 9 GDPR påverkas, uppväger inte de andra faktorerna. I detta avseende har Meta vidtagit effektiva åtgärder för att avsevärt mildra påverkan.
Den planerade behandlingen tillkännagavs redan 2024. Användarna informerades via apparna och, där så var möjligt, på andra sätt. Användarna har enligt OLG Köln möjlighet att förhindra behandling av deras personuppgifter genom att byta sina uppgifter till ”icke-publika” eller genom att invända. De uppgifter som används innehåller inte några unika identifierare som namn, e-postadress eller postadress för enskilda användare.
Enligt OLG Kölns uppfattning föreligger inte heller någon överträdelse av artikel 5.2 DMA. Vid en preliminär rättslig bedömning föreligger inte någon ”sammanslagning” av uppgifter eftersom Meta inte kombinerar uppgifter från användarprofiler från olika tjänster eller från andra källor med avseende på en enda specifik användare som en del av det avsedda förfarandet. I detta avseende saknas relevant rättspraxis.
Dagens dom har meddelats i ett summariskt förfarande till följd av en ansökan om interimistiskt beslut. Här gäller andra rättsliga krav, särskilt när det gäller bedömningen av omtvistade fakta. Parterna kan hävda sina rättigheter i ett separat förfarande i sakfrågan.