Nutzerdaten: EU-Datenschützer prüfen Metas KI-Pläne und raten zu Widerspruch
Der Meta-Konzern will seine KI künftig mit Daten seiner Facebook- und Instagram-Nutzer trainieren.
Foto: REUTERSDas Vorhaben des Meta-Konzerns, Nutzerdaten ab Ende Juni zum Training der eigenen KI-Systeme zu nutzen, ruft nun auch die Datenschutzbehörden in Deutschland und Irland auf den Plan. „Nutzerinnen und Nutzer der Meta-Dienste Facebook und Instagram sollten kurzfristig überlegen, ob sie Meta gestatten möchten, dort geteilte Inhalte für das KI-Training zu nutzen“, so Hamburgs Datenschutzbeauftragter Thomas Fuchs. „Wer das nicht will, sollte vor dem 26. Juni Widerspruch einlegen, damit Meta die persönlichen Daten nicht in seine KI-Systeme einspeist“, so Fuchs, der aufgrund des Meta-Firmensitzes in Hamburg deutschlandweit für das Unternehmen zuständig ist.
Inwieweit die Meta-Pläne überhaupt mit dem europäischen Datenschutzrecht vereinbar sind, untersucht derweil die irische Datenschutzbehörde Data Protection Commission (DPC), wie die WirtschaftsWoche aus dem Umfeld der Behörde erfuhr. Die DPC ist in der EU für Meta zuständig, da der Konzern sein Europa-Hauptquartier in der irischen Hauptstadt Dublin betreibt.
Ende Mai hatte der Konzern die Nutzer seiner Dienste Facebook und Instagram in knappen Worten per E-Mail darüber informiert, dass das Unternehmen plane, seine als „KI bei Meta“ bezeichneten Dienste, die Algorithmen der Künstlichen Intelligenz nutzen, auch nach Europa zu bringen. Dabei plane Meta, für das Training der Dienste auch Daten der Nutzer zu verwenden.
Thomas Fuchs ist seit 2021 Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit.
Foto: imago imagesUnter anderem will Meta Informationen aus verschiedenen Quellen nutzen, wie etwa Fotos, Videos, Audio-Dateien oder Bildunterschriften, die Nutzer der Dienste auf Facebook und Instagram veröffentlicht haben. Privatnachrichten sowie Chats beim Messenger-Dienst WhatsApp, der ebenfalls zu Meta gehört, seien nicht betroffen. Was Meta im Einzelnen vorhat und wie es die Nutzerdaten verwenden will, beschreibt das Unternehmen auf einer Infoseite in den Privatsphäre-Einstellungen.
Rückgriff auf ältere Daten ist problematisch
Datenschutzfachleute verblüfft bei dem Vorstoß unter anderem, dass Meta nicht bloß auf künftige Daten zugreifen will, sondern offenbar auch Nutzerinhalte aus der Vergangenheit fürs KI-Training verwenden will. Damit würde sich der Konzern das Recht zugestehen, auf Daten zurückzugreifen, die Nutzer veröffentlicht haben, bevor ihnen überhaupt bekannt war, dass sie einmal in KI-Systemen verarbeitet werden sollen. „Ein solcher zeitlicher Rückgriff ist problematisch und muss besonders gut begründet werden“, so ein Jurist einer großen Digitalberatung, die auch für Social-Media-Unternehmen tätig ist.
Die EU-Datenschutzgrundverordnung (DSGVO) erlaubt die Verarbeitung von Nutzerdaten nur in wenigen, in Artikel 6 aufgezählten, Ausnahmefällen. Meta beruft sich bei seinem geplanten Zugriff auf den sechsten Unterpunkt des Artikels, die sogenannten „berechtigten Interessen“ des Unternehmens, die schwerer wiegen als die Schutzrechte der Betroffenen. Geschaffen wurde diese Regelung beispielsweise für die Erstellung von Rechnungen auf der Basis von Nutzerdaten.
Auf Anfrage der WirtschaftsWoche heißt es von Meta, man sei nicht das erste Unternehmen, das sich bei der Verarbeitung von Nutzerdaten auf ein "berechtigtes Interesse" berufe. Auch Google oder OpenAI seien schon ähnlich verfahren. Insofern sei man zuversichtlich, dass der gewählte Ansatz den juristischen Vorgaben genüge. Man sei zudem zum Training der KI mit Nutzerdaten aus Europa in Abstimmung mit der irischen DPC, „um sicherzustellen, dass wir beim Training der KI die EU-Vorschriften einhalten“, schreibt Stefano Fratta, Meta-Direktor für globales Engagement, in einem aktuellen Blogpost.
Tatsächlich ist es naheliegend, dass etwa ein Telefonunternehmen die Verbindungsdaten seiner Kunden erfasst und verarbeitet, um Verbindungsgebühren zu kassieren, oder ein Händler Anschrift oder Konto eines Kunden speichert, um diesem Ware zu liefern oder den Kaufpreis abzubuchen. In solch einem Fall muss der Nutzer auch nicht vorab einer Datenverarbeitung zustimmen, hat aber nach Artikel 21 DSGVO das Recht, dieser zu widersprechen, sofern er ein ‚besonderes‘, individuelles Schutzinteresse nachweisen kann. Genau an dieser Stelle hakt weitere Kritik der Datenschützer an Meta ein.
Chancen auf Widerspruch – ohne Chance?
„Meta weist in seiner Mitteilung zu den neuen Datenschutzvorschriften zwar darauf hin, dass die Betroffenen ein Widerspruchsrecht haben“, so der Digitalberater. Das entsprechende Widerspruchsformular finden Nutzer beispielsweise im Facebook-Hilfebereich. Zugleich aber sei es im Grunde ausgeschlossen, dass die Millionen von Facebook- und Instagram-Nutzer sämtlich eine ‚besondere‘ Betroffenheit begründen könnten, wie das Artikel 21 fordert, kritisiert der Experte. „Faktisch könnte Meta durch den gewählten juristischen Weg den allergrößten Teil der Widersprüche einfach abbügeln.“
Fachleute verweisen aber auch darauf, dass etwa Google bei der Erfassung von Bildern für seinen Streetview-Dienst auch sämtliche Nutzer-Widersprüche akzeptiert habe. Es sei denkbar aber noch offen, dass Meta das ebenso handhabe. Erste Tests durch die Redaktion zeigen bisher ein uneinheitliches Bild. Während Widersprüche teils in kürzester Zeit akzeptiert wurden, gibt es in anderen Fällen auch nach Tagen noch keine Rückmeldung on Meta.
Wen informierte Meta, wen nicht? Und warum?
Für Stirnrunzeln bei Datenschützern sorgt auch, dass Meta offenbar nicht alle Nutzer der betroffenen Dienste über die geplante Änderung der Datenverarbeitung informiert hat. Sowohl in der WirtschaftsWoche-Redaktion als auch außerhalb berichten Facebook- und Instagram-Nutzer mit mehreren unabhängigen Nutzerkonten, dass sie nur zu einzelnen eine Info-E-Mail oder einen Hinweis in der App von Meta erhalten hätten – einige bekamen auch gar keine Nachricht.
Ob Metas gewähltes Vorgehen tatsächlich einer juristischen Prüfung standhält, gilt unter Datenschutzexperten als unwahrscheinlich. Neben dem zeitlichen Rückgriff und der unspezifischen Nennung eines „berechtigten“ Interesses, sei auch die potenzielle Willkür beim Akzeptieren oder Ablehnen von Widersprüchen rechtlich angreifbar. Darauf verlassen, dass die irischen Datenschützer Metas Pläne kurzfristig stoppen, sollten sich die Nutzer von Facebook oder Instagram aber nicht.
Juristische Prüfung dauert zu lange
Wann eine Prüfung der Rechtmäßigkeit von Metas KI-Daten-Plänen auf Europäischer Ebene abgeschlossen ist, sei aktuell noch nicht abzusehen, sagen Datenschutzexperten. Klar aber sei, dass das sicher nicht vor dem 26. Juni sei. Hamburgs Datenschützer Fuchs mahnt daher zur Eile: „Wer sich sorgt, dass seine personenbezogenen Daten aus den Social-Media-Profilen in KI-Anwendungen von Meta einfließen, sollte also kurzfristig handeln.“
Transparenzhinweis: Der Text wurde um eine Stellungnahme von Meta ergänzt.
Lesen Sie auch: Das Werbegeschäft der Netzriesen wackelt. Ein Verfahren vor dem Europäischen Gerichtshof, könnte es endgültig zu Fall bringen.