9. Dezember 2025

Untersuchung gegen Google wegen unrechtmäßigem Training der KI

Die Europäische Kommission hat am 9. Dezember 2025 ein förmliches Kartellverfahren gegen Google eingeleitet. Im Mittelpunkt steht der Verdacht, dass der Konzern Inhalte von Webseiten und Videos von YouTube-Creator:innen nutzt, um seine KI-Modelle – etwa Gemini und „AI Overviews“ – zu trainieren, ohne hierfür angemessene Bedingungen zu bieten.

Aus kartellrechtlicher Sicht geht es um möglichen Missbrauch einer marktbeherrschenden Stellung. Materiell berührt der Fall aber zugleich zentrale Grundfragen des europäischen Datenschutzrechts: Unter welchen Voraussetzungen dürfen personenbezogene Daten aus öffentlich zugänglichen Quellen für das Training generativer KI verarbeitet werden – und wo verläuft die Grenze zur Rechtswidrigkeit?

Gegenstand des Verfahrens der EU-Kommission

Nach Darstellung der Kommission steht insbesondere Folgendes im Raum:

Google soll Inhalte von Online-Publishern in großem Umfang für KI-Zwecke verwerten,
YouTube-Videos von Creator:innen sollen ohne gesonderte Vergütung und ohne wirksame Widerspruchsmöglichkeit in Trainingsdatensätze einfließen,
Gleichzeitig sollen Wettbewerber beim Zugriff auf YouTube-Inhalte für eigene KI-Modelle faktisch ausgeschlossen werden.

Konkret richtet sich der Blick der Kommission auch auf „AI Overviews“: KI-generierte Antwortboxen, die oberhalb der klassischen Suchergebnisse erscheinen und damit erheblichen Einfluss auf die Sichtbarkeit von Inhalten und den Traffic von Medienunternehmen haben.

Rechtlich geprüft wird, ob Google als marktbeherrschender Anbieter der Internetsuche (Art. 102 AEUV) Inhaltsanbietern unangemessene Geschäftsbedingungen aufzwingt und sich zugleich einen strukturellen Vorteil gegenüber anderen KI-Anbietern verschafft. Im Falle eines Verstoßes drohen Geldbußen von bis zu 10 % des weltweiten Jahresumsatzes.

Datenschutzrechtliche Relevanz: KI-Training als Verarbeitung personenbezogener Daten

Auch wenn das Verfahren ausdrücklich kartellrechtlich begründet ist, lässt sich der zugrunde liegende Sachverhalt ohne Datenschutzrecht nicht vollständig erfassen.

Web-Inhalte und YouTube-Beiträge enthalten regelmäßig personenbezogene Daten – von Klarnamen über Nutzerkommentare bis hin zu Bild- und Tondaten.
Das Crawling, Speichern und anschließende Trainieren von KI-Modellen mit diesen Inhalten ist eine Verarbeitung personenbezogener Daten i.S.v. Art. 4 Nr. 2 DSGVO (Erheben, Speichern, Verwenden etc.).

Damit stellt sich zunächst die Grundfrage nach der Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO): Es bedarf einer tragfähigen Rechtsgrundlage, etwa berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder – in Ausnahmefällen – einer Einwilligung.

Gerade bei großflächigem Web-Scraping und generischem KI-Training sind folgende DSGVO-Prinzipien besonders einschlägig:

Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO): Inhalte wurden typischerweise zur Information der Öffentlichkeit, zur Verbreitung von Nachrichten oder zur Darstellung von Unternehmen bereitgestellt – nicht zur Entwicklung proprietärer KI-Modelle. Die Nutzung zum KI-Training ist regelmäßig eine Zweckänderung, die strengen Anforderungen unterliegt.
Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO): KI-Modelle sind strukturell datenintensiv. Zu prüfen ist, ob Umfang und Detailtiefe der Trainingsdaten für den jeweiligen Zweck notwendig und verhältnismäßig sind.
Transparenz (Art. 5 Abs. 1 lit. a), 12 ff. DSGVO): Betroffene und Inhalteanbieter müssen in klarer Weise nachvollziehen können, ob und wofür ihre Daten verarbeitet werden. Das ist bei intransparenten, globalen Trainingspipelines häufig nicht der Fall.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO): Wenn Modelle personenbezogene Daten faktisch „memorieren“, verschiebt sich die Diskussion von bloßer Speicherung hin zu der Frage, wie lange ein Modell in dieser Form in Betrieb bleiben darf.

Der Fall zeigt exemplarisch, dass technische Standardpraktiken der KI-Entwicklung (Crawling, großskalige Datensätze, Foundation Models) unmittelbar in den Anwendungsbereich der DSGVO fallen – mit entsprechendem Risiko für Bußgelder bis zu 4 % des weltweiten Jahresumsatzes bei Verstößen gegen Grundprinzipien der Verarbeitung (Art. 83 Abs. 5 lit. a) DSGVO).

Implikationen für Unternehmen: KI-Training braucht Datenschutz-Strategie

Der Fall Google ist ein prominentes Beispiel, dürfte aber nur der Anfang einer breiteren Regulierungspraxis sein. Für Unternehmen, die KI-Modelle trainieren oder zukaufen, zeichnen sich einige Praktikabilitätsanforderungen ab:

Dateninventar und Herkunftsnachweise: Klar dokumentieren, aus welchen Quellen Trainingsdaten stammen (eigene Systeme, öffentlich zugängliche Quellen, Daten von Partnern).
Rechtsgrundlagen und Zweckbeschreibungen: Für jede Datenkategorie und Quelle sollte definiert sein, auf welcher DSGVO-Rechtsgrundlage das KI-Training beruht und wie sich dieses zum ursprünglichen Zweck verhält.
Opt-out-Konzepte und technische Steuerung: Wo praktikabel, sollten Inhalteanbieter und Nutzer:innen die Nutzung ihrer Inhalte zum KI-Training steuern können – sei es über Contractual Terms, robots-Meta-Tags oder Plattform-Einstellungen.
Verzahnung von DSGVO und AI Act: Datenschutz-Folgenabschätzungen (DSFA), Verarbeitungsverzeichnisse und technische Schutzmaßnahmen lassen sich mit den Dokumentationspflichten des AI Act kombinieren – sinnvoll ist eine integrierte Governance statt paralleler Silos.

Alle aktuellen Themen sehen

Autor

Nils Möllers

Herr Möllers ist als ext. Konzerndatenschutzbeauftragter (TISAX, ISO27001, DEKRA und TÜV) tätig. Herr Möllers hat 2017 die Keyed GmbH gegründet und verfügt über langjährige Erfahrung im Datenschutz.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy

Untersuchung gegen Google wegen unrechtmäßigem Training der KI

Gegenstand des Verfahrens der EU-Kommission

Datenschutzrechtliche Relevanz: KI-Training als Verarbeitung personenbezogener Daten

Implikationen für Unternehmen: KI-Training braucht Datenschutz-Strategie

Wir verwenden Cookies