Mark Zuckerberg wollte uns mal wieder ans Leder – oder vielmehr: unseren persönlichen Daten. Das sollte im Jahr 2024 niemanden mehr überraschen, aber in diesem Fall ist das Ganze nochmal besonders kritisch: Denn Meta wollte mit den persönlichen Posts ihrer Nutzer die hauseigene KI trainieren. Die Beschwerden waren allerdings so groß, dass Meta nun zurückrudert.

Nutzer der Plattform Meta haben vor einiger Zeit eine E-Mail in ihrem Postfach aufgefunden, die die Gemüter erhitzte. Darin kündigte Meta an, zukünftig die Postings der Nutzer von Facebook, Instagram und der neuen Twitter-Alternative Threads dafür nutzen zu wollen, ihre hauseigenen KI-Systeme zu trainieren. Konkret bedeutet diese Ankündigung, dass Beiträge, Fotos und vor allem auch Bildunterschriften ausgelesen werden sollten, um daraus Muster zu erkennen, die die generativen KIs dann verwenden können. Grundsätzlich wäre dieses Vorhaben nicht neu – die Datensätze, mit denen zum Beispiel Dall-E oder Midjourney trainiert wurden, enthalten auch immer Paare aus Bildern und Extra-Informationen (meistens alt-Texte), die das Gesehene für zum Beispiel sehbehinderte Nutzer beschreiben.

Zur Umsetzung der Pläne wollte Meta in andere Regionen expandieren, unter anderem eben auch Deutschland. Meta schrieb, dass es um alle „Features und Erlebnisse“, „die generative KI nutzen, beispielsweise Meta AI und AI Creative Tools“ und die zugrundeliegenden Modelle gehe. Für die Nutzer bedeutete das: „Ihr bekommt ein besseres Nutzungserlebnis“ – allerdings im Tausch gegen die eigenen Daten. Meta berief sich bei den Plänen auf ein vermeintliches berechtigtes Interesse.
Das Ziel: Mit den Daten soll eine KI bei Meta weiterentwickelt und verbessert werden. Wer widersprechen wollte, hätte ein Formular ausfüllen müssen.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Datenschutz-Organisation noyb reichte Beschwerden ein

Datenschutz-Organisation noyb (steht für none of your business und wurde von Max Schrems gegründet) reichte nach Bekanntwerden der Pläne elf Beschwerden gegen EU-Länder ein, darunter auch Deutschland, um die dortigen Datenschutzbehörden zum Handeln zu bewegen. noyb ist der Ansicht, Meta hätte bei seinen Plänen um Erlaubnis bitten müssen und hätte sich nicht auf ein „berechtigtes Interesse“ berufen dürfen. Die Wunschlösung der Datenschutz-Organisation lag in einer „Opt-In“ Lösung statt eines „Opt-Outs“ per kompliziertem Widerspruchsformular.

Noyb warf Meta in der Beschwerde zehn verschiedene Verstöße gegen die DSGVO vor. Allen voran, dass Meta gar keinen Rechtsgrund für die Verarbeitung gehabt habe – die Nutzung der Posts fürs KI-Training also datenschutzrechtswidrig sei. Die Verarbeitung personenbezogener Daten ist nach der DSGVO nur in bestimmten Fällen erlaubt, beispielsweise wenn eine Einwilligung vorliegt. Da Meta jedoch keine Einwilligung eingeholt hatte, müssen sie sich also auch auf einen Rechtsgrund aus Art. 6 DSGVO berufen – hier führen sie die „Wahrung berechtigter Interessen“ in Buchst. f. des Art. 6 DSGVO an. Diese Begründung bedeutet allerdings: Die Nutzung der Daten fürs KI-Training hätte so gewichtig sein müssen, dass sie den Grundrechten der Nutzer überwiegt. Damit eine saubere Abwägung erfolgen kann, muss stets klar sein, wofür die Daten genau gebraucht werden. Hier aber wurde Meta vorgeworfen, die Verarbeitungsgründe seien nicht spezifisch genug, um ein berechtigtes Interesse zu begründen. In der Mail, die die Nutzer von Meta erhalten haben, heißt es lediglich, die Daten würden genutzt, um „KI bei Meta weiterzuentwickeln und zu verbessern“.

Neben dem Verstoß gegen Art. 6 hätte im Übrigen wohl auch ein Verstoß gegen Art. 5 DSGVO vorgelegen. Darin geregelt sind u.a. die Grundsätze der Transparenz, Zweckbindung, Datenminimierung sowie Integrität und Vertraulichkeit. Doch noyb sah noch weitere Verstöße. So müsste Meta eigentlich auch klar nach besonders sensiblen Daten gem. Art. 9 DSGVO – also solche zu politischen Meinungen, Religion, ethnischer Herkunft – filtern. Schließlich gelten für die Verarbeitung dieser Daten besonders strenge Regeln, wodurch sie in den allermeisten Fällen verboten ist. Außerdem war nicht klar, ob Meta wirklich ausreichend transparent über die Datenverarbeitung informiert hat – also wozu genau welche Daten nun gebraucht werden. Ferner ist noch gut denkbar, dass Meta nicht rechtskonform mit den Widersprüchen umging, die sie hier forderten. Meta habe wohl keinen ausreichenden Grund gehabt, einen Widerspruch abzulehnen und die Verarbeitung entsprechend nicht richtig einschränken oder einstellen und darüber informieren. Außerdem stand zur Debatte, dass die Nutzer bei Metas Plänen nicht hinreichend auf ihr Recht hingewiesen worden wären, da das Formular nicht offensichtlich und leicht zu finden sei. Damit würde Meta gegen die Artikel 17, 18, 19 und 21 DSGVO verstoßen.

Meta kippt die Pläne

Die Vorwürfe waren also durchaus schwerwiegend. Letztlich sollten die Beschwerden der Datenschutz-Organisation dementsprechend auch Wirkung zeigen: Wie noyb in einer Pressemitteilung bekanntgab, kippt Meta nun seine Pläne – zumindest in Europa, dem Geltungsbereich der DSGVO. Als Reaktion auf die Beschwerden hat Meta bekannt gegeben, dass es sich gegenüber der irischen Datenschutzbehörde verpflichtet hat, keine EU/EWR-Nutzerdaten für undefinierte „Techniken der künstlichen Intelligenz“ zu verarbeiten.

Zwar genehmigte die DPC zunächst die Einführung von Meta AI in der EU/EWR. Jedoch scheint die DPC durch das Zurückrudern anderer Datenschutzbehörden in den letzten Tagen zu einer Kehrtwende bei ihrer Empfehlung an Meta bewegt worden zu sein. Die DPC gab nun bekannt, dass Meta ihre Pläne stoppen wird. Diese Entscheidung sei nach intensiven Gesprächen zwischen dem DPC und Meta getroffen worden. Die Datenschutzbehörde werde in Zusammenarbeit mit den anderen EU-Datenschutzbehörden weiterhin mit Meta in dieser Angelegenheit zusammenarbeiten. Bislang gibt es jedoch keine weiteren Informationen darüber, wie diese Zusammenarbeit ausgesehen haben könnte oder wie die Datenschutzbehörde dazu kam, ihre Meinung zu ändern.

Noyb lässt in ihrer Pressemitteilung verlauten, dass sie die Entscheidung begrüßen, sie diese aber genau beobachten würden. Bislang gebe es keine offizielle Änderung der Meta-Datenschutzbestimmungen, die diese Verpflichtung rechtsverbindlich machen würde. Die von noyb eingereichten Beschwerden seien noch nicht abgeschlossen, über sie müsse noch entschieden werden.

agr