Meta vs. DSGVO: Erlaubt der EDPB-3-Stufen-Test KI-Training mit Nutzerdaten?
Die Opinion 28/2024 vom 18. Dezember 2024 des Europäische Datenschutzausschuss (EDPB) adressiert zentrale datenschutzrechtliche Fragen im Kontext der Entwicklung und Nutzung von KI-Modellen. Mit dem Start des KI-Trainings von Meta in Europa sorgte die Stellungnahme in der Kontroverse nun erneut für Aufsehen.
Ein Kernstück dieser Stellungnahme ist die detaillierte Auseinandersetzung mit der Rechtsgrundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Der darin formulierte Drei-Stufen-Test zur Interessenabwägung hat sich im Streit um Metas geplante Datennutzung in der EU als entscheidendes Prüfwerkzeug etabliert. Die Frage, wie weit Unternehmen sich beim Training generativer KI auf das berechtigte Interesse stützen dürfen, ist aktueller denn je.
Metas KI-Training und die datenschutzrechtliche Gegenreaktion
Juni letzten Jahres kündigte Meta an, seine Pläne zur Nutzung personenbezogener Daten europäischer Nutzer für KI-Trainingszwecke vorerst zu stoppen. Geplant war, öffentliche Inhalte sowie Interaktionen mit Meta AI in der EU zur Verbesserung der Modelle heranzuziehen – gestützt auf das berechtigte Interesse. Nutzer sollten lediglich per Opt-out widersprechen können. Bereits im Frühjahr 2024 hatte die Datenschutzorganisation noyb daher bei elf Aufsichtsbehörden Beschwerden eingereicht. Hauptkritikpunkte waren die fehlende Einwilligung, die unklare Zweckbindung der Datenverarbeitung und die unzureichende Gestaltung der Widerspruchsmöglichkeit. Auf Anfrage der irischen und für Meta zuständigen Datenschutzbehörde wurde die Opinion 28/2024 des EDPB im Dezember veröffentlicht. Darin macht der Ausschuss deutlich, dass das berechtigte Interesse als Rechtsgrundlage für KI-Trainings nur unter strengen Voraussetzungen anwendbar ist. Entscheidende Kriterien sind dabei: klarer Zweck, tatsächliche Notwendigkeit und die vernünftigen Erwartungen der betroffenen Personen.
Der Drei-Stufen-Test
Der EDPB konkretisiert in drei Prüfungsschritten die Anforderungen an eine zulässige Datenverarbeitung auf Grundlage des berechtigten Interesses:
1. Legitimes Interesse:
Das verfolgte Interesse muss rechtmäßig, klar definiert und aktuell sein. Es darf nicht gegen geltendes Recht verstoßen, muss präzise formuliert sein und einen realen, gegenwärtigen Nutzen haben, nicht nur hypothetische Vorteile. Der EDPB nennt Beispiele wie die Entwicklung eines Sprachassistenten zur Nutzerunterstützung oder die Verbesserung der Cybersicherheit.
2. Erforderlichkeit:
Die Verarbeitung muss zur Zielerreichung notwendig sein. Die Datenverarbeitung muss zwingend erforderlich sein, um das identifizierte Interesse zu erreichen. Es ist zu prüfen, ob das Ziel auch mit weniger eingriffsintensiven Mitteln, wie anonymisierten oder aggregierten Daten, erreicht werden könnte. Zudem muss die Datenmenge auf das notwendige Minimum beschränkt sein (Prinzip der Datenminimierung).
3. Abwägung der Interessen:
Hier erfolgt eine Abwägung des berechtigten Interesses des Verantwortlichen mit den Rechten und Freiheiten der betroffenen Personen. Dabei sind insbesondere die vernünftigen Erwartungen der Betroffenen zu berücksichtigen, beeinflusst durch Faktoren wie die Art der Datenquelle, die Transparenz der Verarbeitung und der Kontext. Auch mögliche Risiken für die Betroffenen (z. B. Reputationsschäden, Identitätsdiebstahl, Profilbildung, Diskriminierung) und Vorteile für Dritte sind in die Abwägung einzubeziehen.
Metas Argumentation
Meta berief sich zur Rechtfertigung des KI-Trainings auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Die Nutzung personenbezogener Daten zur Entwicklung und Verbesserung von KI-Technologien sei legitim und überwiege die Datenschutzinteressen der Nutzer. Statt einer Einwilligung wurde ein Opt-out angeboten – allerdings nur nach begründetem Widerspruch, dessen Anerkennung im Ermessen von Meta lag. Das Unternehmen betont in einer aktuellen Pressemitteilung seine Transparenz im Vergleich zur Konkurrenz und sah sich durch die EDPB-Opinion vom Dezember 2024 in seiner Rechtsauffassung bestätigt. Zudem meint Meta weiter, dass weder private Chatnachrichten noch die öffentlichen Daten von minderjährigen Personen für das KI-Training verwendet werden.
Hat Meta ein berechtigtes Interesse?
Legitimes Interesse: Ist das umfassende Training von KI-Modellen mit unspezifischen Zwecken als hinreichend klar und gegenwärtig zu definieren? Das angeführte Interesse – die „Verbesserung der KI speziell auf europäische Nutzer“ – wird als zu vage kritisiert. Aufgrund der Breite möglicher Anwendungen fehlt es an einer klaren Zweckbindung. Auch die Rechtmäßigkeit des Interesses ist angesichts der EuGH-Rechtsprechung zur personalisierten Werbung fraglich.
Notwendigkeit: Ist die Verarbeitung aller möglichen personenbezogenen Daten der Nutzer tatsächlich notwendig? Die fehlende Prüfung milderer Mittel wie Anonymisierung sowie eine unklare Eingrenzung der betroffenen Datenkategorien, insbesondere im Hinblick auf Art. 9 DSGVO wirft hier Zweifel auf. Der EDPB betont die Bedeutung der Datenminimierung auch bei großen KI-Modellen.
Interessenabwägung und vernünftige Erwartungen: Überwiegt Metas wirtschaftliches Interesse die Grundrechte auf Datenschutz und Privatsphäre der Nutzer? Können Nutzer vernünftigerweise erwarten, dass ihre privaten Daten ohne Einwilligung für ein solch weitreichendes KI-Training genutzt werden, insbesondere angesichts der bloßen Opt-Out-Möglichkeit? Das Opt-Out-Verfahren, das eine Begründung erfordert und im Ermessen von Meta liegt, deutet auf eine mangelnde Berücksichtigung der Nutzererwartungen hin. Der vorgesehene Widerspruchsmechanismus ist nutzerunfreundlich und unzureichend. Zudem fehlt es an einer echten Wahlmöglichkeit – etwa durch eine Einwilligung.
Wie bereits im Beitrag in unserem letzten Beitrag zu Metas KI-Training thematisiert, bleibt Metas Berufung auf das berechtigte Interesse in diesem Kontext für höchst fragwürdig. Die damalige Pausierung des KI-Trainings durch Meta in der EU nach dem Einschreiten von Datenschutzbehörden unterstreicht die Schwierigkeiten, solch umfassende Datenverarbeitungen über das berechtigte Interesse zu rechtfertigen.
Grenzen des berechtigten Interesses
Die Meta-Diskussion und die Leitlinien des EDPB machen deutlich, dass großangelegte, intransparente Datenverarbeitungen zum KI-Training, die private und potenziell sensible Daten umfassen und mit einer reinen Opt-Out-Lösung einhergehen, kaum mit dem berechtigten Interesse vereinbar sein dürften. Die vernünftigen Erwartungen der Betroffenen spielen hier eine zentrale Rolle. Daten aus öffentlich zugänglichen Quellen können andere Erwartungen wecken als private Nachrichten oder sensible Daten.
Die Einholung einer informierten Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO könnte in vielen Fällen der datenschutzrechtlich sicherere Weg sein, um personenbezogene Daten für KI-Trainingszwecke zu nutzen. Dies würde den Nutzern mehr Kontrolle über ihre Daten geben und für mehr Transparenz bei KI-Training sorgen.
Der EDPB betont, dass Unternehmen den Drei-Stufen-Test sorgfältig prüfen, abwägen und dokumentieren müssen. Eine pauschale Berufung auf das berechtigte Interesse ohne eine detaillierte Interessenabwägung, die die Auswirkungen auf die Betroffenen berücksichtigt, wird in der Regel nicht ausreichen.
HmbBfDI warnt vor Frist beim Widerspruch
Mit einer aktuellen Meldung vom 15. April 2025 bringt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) neue Dringlichkeit in die Diskussion. Thomas Fuchs, HmBfDI warnt: „Ich kann gut verstehen, dass es Nutzer:innen sorgt, wenn alle ihre in sozialen Netzwerken geteilten Bilder und Texte nun in KI-Modelle fließen. Hier schützt nur ein rechtzeitiger Widerspruch. Wenn, dann jetzt.“ Alle volljährigen Nutzer der Meta-Plattformen sollen benachrichtigt und über ihre Widerspruchsmöglichkeit informiert werden. Diese ist direkt über Facebook oder Instagram zugänglich und muss bis spätestens Ende Mai 2025 eingelegt werden, um zu verhindern, dass die eigenen Daten in die KI-Modelle einfließen. Ein späterer Widerspruch ist zwar weiterhin möglich – jedoch nicht mehr rückwirkend wirksam, da die Trainingsdaten technisch nicht mehr aus einem Modell gelöscht werden können.
Fazit
Die EDPB-Opinion 28/2024 und die Auseinandersetzung um Metas KI-Pläne verdeutlichen die hohen Anforderungen an die Rechtfertigung der KI-Nutzung über das berechtigte Interesse. Die Warnung des HmbBfDI unterstreicht, wie wichtig es ist, dass Betroffene aktiv informiert und befähigt werden, ihre Rechte wahrzunehmen. Unternehmen stehen vor der strategischen Herausforderung, innovative KI-Lösungen zu entwickeln, die den Datenschutz von Anfang an berücksichtigen (Privacy by Design) und auf Rechtsgrundlagen beruhen, die die Rechte der Betroffenen respektieren. Der Drei-Stufen-Test des EDPB ist dabei ein unerlässliches Instrument, um die Grenzen des berechtigten Interesses im Zeitalter der Künstlichen Intelligenz verantwortungsvoll auszuloten. Die Betonung von Transparenz, Datenminimierung und der Berücksichtigung der vernünftigen Erwartungen der Nutzer sind entscheidend, um das Vertrauen der Bürgerinnen und Bürger in KI-Technologien zu stärken
Ob Sie eine KI selbst trainieren, anbieten oder nutzen wollen – unsere spezialisierten KI-Beauftragten bei KINAST begleiten Sie. Rechtssicher, strategisch und praxisnah.
