Metas KI-Training: Datenschutzrechtlich fragwürdig
In den letzten Tagen haben Facebook-Nutzer mal wieder eine Benachrichtigung über die Änderung der Datenschutzbedingungen bekommen. Diesmal geht es dem Social-Media-Konzern um die umfassende Verwendung personenbezogener Daten zum Training einer neuen KI-Technologie. Die Bürgerrechtsorganisation noyb sieht Metas KI-Training datenschutzrechtlich als höchst fragwürdig an. Infolgedessen hat sie sich laut Pressemitteilung vom 06.06.2024 an insgesamt 11 Datenschutzbehörden mit einer Datenschutzbeschwerde gewandt. Laut der Beschwerde sollen die Behörden im Eilverfahren wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) einschreiten.
Metas neue Datenschutzrichtlinie
Seit Ende Mai erhalten Facebook Nutzer Benachrichtigungen über die Änderung der Datenschutzrichtlinie. „Wir aktualisieren unsere Datenschutzrichtlinie, da wir KI bei Meta ausweiten“ heißt es in der E-Mail. Zu Metas KI-Technologien gehöre beispielweise die Anwendungen Meta AI und AI Creative Tools, aber auch weitere nicht genauer definierte Technologien. Um seine KI-Systeme zu trainieren, möchte Meta die personenbezogenen Daten seiner Nutzer verwenden. In der Mitteilung erklärt Meta, dass sie sich auf die Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Dieses überwiege die Grundrechte auf Datenschutz und Privatsphäre. Bereits im letzten Jahr hatte es der EuGH (C‑252/21) Meta verboten, diese Rechtsgrundlage zum Ausspielen von personalisierter Werbung zu verwenden.
Nur befristeter opt-out für Nutzer
Die Änderungen sollen schon am 26.06.2024 in Kraft treten. Nach einer Einwilligung fragt Meta (aufgrund des berechtigten Interesses) nicht. Nutzern, die mit der Datenverarbeitung nicht einverstanden sind, stünde ein Widerspruchsrecht zu. Dieses berücksichtige man allerdings nur, wenn diesem stattgegeben wird. Unter welchen Voraussetzungen das der Fall ist, erläutert Meta nicht genauer. Folgt man dem im Text versteckten Widerspruchslink, öffnet sich ein Online-Formular mit noch mehr Text. Nach Absendung des Formulars prüfe man den „Einspruch gemäß den geltenden Datenschutzgesetzen“. Danach wird es noch besser. Selbst, wenn man Einspruch erhoben hat oder nicht mal die Meta Produkte oder Dienste verwendet, kann es sein, dass Meta personenbezogene Daten verarbeitet. Das könne etwa der Fall sein, wenn man in Beiträgen anderer Personen vorkommt. Im Anschluss müssen Sie in einem Pflichtfeld begründen, „wie sich diese Verarbeitung auf dich auswirkt“. Sind die Nutzungsänderungen einmal in Kraft, gebe es laut Meta keine Möglichkeit, aus dem System widerauszutreten.
Weitreichende Nutzung persönlicher Daten
Die Verwendung von öffentlich zugänglichen Daten zum Trainieren von KI ist ohnehin aus datenschutzrechtlicher Sicht nicht gänzlich unbedenklich. Meta plant jedoch noch einen Schritt weiterzugehen. Zu den verwendeten Informationen sollen laut dem Widerrufsformular „Beiträge, Fotos und deren Bildunterschriften [und] Nachrichten, die du an eine KI sendest“ gehören. Das bedeutet, dass neben öffentlich verfügbaren Informationen auch private Inhalte, die Facebook über die Jahre gesammelt hat, verwendet werden sollen. Privatnachrichten mit Freunden und Familie wolle man nicht nutzen. Im Umkehrschluss heißt das aber auch, dass Privatnachrichten mit Unternehmen betroffen sein könnten. Die Art der betroffenen Daten konkretisiert Meta im Übrigen nicht weiter, woraus folgt, dass auch nicht öffentliche sensible Daten gemäß Art. 9 Abs. 1 DSGVO, wie Gesundheitsdaten oder Informationen zur sexuellen Orientierung, betroffen sein könnten. Für diese Daten greift allerdings die Rechtfertigungsgrundlage des berechtigten Interesses grundsätzlich nicht.
Unbestimmter Verwendungszweck
Neben der Verwendung zur Weiterentwicklung und Verbesserung von KI, konkretisiert Meta auch die Art der Datenverarbeitung nicht weiter. Da der Begriff der KI extrem weit ausgelegt werden kann, kann dies in der Praxis eine unendliche Anzahl an Anwendungsfällen bedeuten. Außerdem sei eine Weitergabe an Dritte möglich. Wie Max Schrems, Vorstandsvorsitzender von noyb, richtig hervorhebt kann dies auch als die Erlaubnis „sämtliche Daten von sämtlichen Quellen für sämtliche Zwecke zu verwenden und sie jedermann zur Verfügung zu stellen, solange dies mittels KI-Technologie erfolgt“ ausgelegt werden.
Datenschutzbeschwerde von noyb
Aufgrund der kurzen Frist und der Unwiderruflichkeit der Datenverarbeitung hat noyb ein Dringlichkeitsverfahren gemäß Artikel 66 DSGVO bei 11 Datenschutzbehörden beantragt. Metas KI-Training sei datenschutzrechtlich fragwürdig. Die Beschwerde wurde an Österreich, Belgien, Frankreich, Deutschland, Griechenland, Italien, Irland, die Niederlande, Norwegen, Polen und Spanien gesendet. Die norwegische Datenschutzbehörde hat bereits Zweifel an der Rechtmäßigkeit von Metas Vorgehen geäußert. In den nächsten Tagen wolle man auch in den restlichen Mitgliedsstaaten Beschwerden einreichen. Laut Schrems habe man schon Datenschutzverletzungen von mindestens zehn Artikeln der DSGVO identifiziert. Über das Dringlichkeitsverfahren könnte der Europäischen Datenschutzausschusses (EDSA) schnell ein vorläufiges Verbot aussprechen und in wenigen Monaten eine endgültige Entscheidung treffen. Schrems hofft hierbei auf, wie bereits in der Vergangenheit vorliegend, Vernunft der außerhalb von Irland liegenden Datenschutzbehörden, die bereits zuvor zu bindenden Entscheidungen des EDSA im Dringlichkeitsverfahren geführt haben.
Kritik an der irischen Datenschutzkommission
Noyb wirft in seiner Pressemitteilung der zuständigen irischen Datenschutzbehörde (DPC) vor, für die vermeintliche Verletzung der DSGVO mitverantwortlich zu sein. Die Bürgerrechtsorganisation verweist hierfür auf einen Bericht von The Journal, laut dem das Vorhaben auf einem Deal mit der DPC beruhe. Die DPC habe erklärt, dass Meta den Launch des Vorhabens verschoben hätte, um vorher verschiedene Bedingungen der DPC umzusetzen. Etwa würden keine personenbezogenen Daten von Minderjährigen verarbeitet. In der Vergangenheit wurde im Rahmen des Vorwurfs von ähnlicher Zusammenarbeit mit der DPC nach Involvierung des EDSA eine Geldstrafe gegen Meta in Höhe von 390 Millionen Euro verhängt. Schrems ist entsetzt, dass eine Datenschutzbehörde solche Methoden anwende.
Fazit
Metas geplantes KI-Training erscheint datenschutzrechtlich tatsächlich sehr fragwürdig. Vor dem Hintergrund, dass man sich nicht auf konkrete Technologien festlegt, der Unwiderruflichkeit der Datenverarbeitung, der fehlenden Einwilligungseinholung, der komplizierten und im Ermessen von Meta liegenden Einspruchsgeltendmachung und der kurzen Widerspruchsfrist scheint eine Rechtmäßigkeit des Vorgehens zweifelhaft. Auch die Tatsache, dass private Inhalte und höchstwahrscheinlich auch personenbezogene Daten ohne Einwilligung verarbeitet werden, ist mit berechtigtem Interesse schwer bis gar nicht zu begründen. In den nächsten Wochen wird es spannend, wie die nationalen Datenschutzbehörden vorgehen werden.