Der Aufschrei Anfang Juni war groß. Meta aktualisierte seine Datenschutzrichtlinien und wollte fortan die privaten Fotos, Posts und Daten seiner User für die eigene Künstliche Intelligenztechnologie nutzen. Sollte ein User dies nicht wollen, muss er der Datenverarbeitung ferner aktiv widersprechen. Das Europäische Zentrum für digitale Rechte („noyb“) hat gegen dieses Vorhaben europaweit elf Beschwerden bei den nationalen Aufsichtsbehörden eingelegt – mit einem vorläufigen Erfolg.
Der Inhalt im Überblick
Metas Vorhaben
Meta plant eine hauseigene Künstliche Intelligenz, die es seinen Nutzern künftig zur Verfügung stellen will. In seiner aktualisierten Datenschutzrichtlinie zu KI informiert Meta seine Nutzer, vornehmlich Facebook- und Instagram-User, darüber, ab dem 26 Juni 2024 seine generative KI trainieren zu wollen. Während in der Richtlinie von Meta AI und KI-gestützten Creative Tools die Rede ist, hält Meta mit einer klaren Aussage über geplante KI-Modelle noch hinter dem Zaun. Dennoch erklärt der Konzern, dass für das Training zunächst erhebliche Mengen an Daten benötigt werden. Und dafür sollen nun die personenbezogenen Daten der User verwendet werden. Darunter fallen insbesondere Beiträge, Fotos (auch wenn diese auf nicht-öffentlichen Profilen gepostet wurden) und die Kommunikation mit dem Unternehmen.
noybs Beschwerde im Detail
Das Europäische Zentrum für digitale Rechte, kurz noyb, kritisiert dieses Vorhaben zutiefst und hat postwendend Beschwerden bei den Aufsichtsbehörden in Österreich, Belgien, Frankreich, Deutschland, Griechenland, Italien, Irland, den Niederlanden, Norwegen, Polen und Spanien eingelegt. Ziel dieser Beschwerden war der sofortige Stopp der Pläne Metas, zumindest in Europa, um die personenbezogenen Daten der Bürger zu schützen.
Kein berechtigtes Interesse für Meta
Im europäischen Datenschutzrecht ist die Verarbeitung von personenbezogenen Daten grundsätzlich verboten. Es sei denn, eine Rechtsgrundlage erlaubt dies explizit. Meta gibt im vorliegenden Fall an, dass der Konzern für das KI-Training ein berechtigtes Interesse habe. Die Informationen der Betroffenen dienen Meta laut eigenen Angaben „zur Entwicklung und Optimierung von KI“. Weitere Aussagen, worin das berechtigte Interesse liegt, tätigt der Internet-Konzern nicht.
Feststeht, dass der EuGH in Fällen der personalisierten Werbung bereits das berechtigte Interesse als Rechtsgrundlage verneint hatte. Zudem wirft noyb auf, dass der „Drei Stufen Test“, der für das Vorliegen eines berechtigten Interesses maßgeblich ist, nicht erfüllt ist, da Meta keinen hinreichenden Zweck definiert. Zudem sei
„Geldverdienen selbst […] kein berechtigtes Interesse“.
Der Beschwerdeführer rügt damit, dass Meta keine gültige Rechtsgrundlage für das KI-Training habe. noyb behauptet, Meta wolle sich durch die aktualisierte Datenschutzrichtlinie einen „Freifahrtschein“ für jegliche künftige Datenverarbeitungen erkaufen.
Klar definierte KI?!
Die NGO kritisierte, dass Meta in seiner Ankündigung nicht klar definierte, um welche Art von System es sich bei der angedachten Künstlichen Intelligenz handele. In der aktualisierten Datenschutzrichtlinie ist lediglich von einer „KI-Technologie“ die Rede. Betroffene, die einen Facebook- oder einen Instagram-Account haben, werden somit nicht hinreichend über den geplanten Zweck für die Datenverarbeitung informiert. Nach europäischem Datenschutzrecht ist dies inakzeptabel. Der Zweck einer Datenverarbeitung muss bereits vor Beginn des Vorgangs klar definiert und der Betroffene in angemessener Weise darüber informiert werden – ansonsten verstößt man gegen die Informations- und Transparenzpflichten des europäischen Datenschutzrechts.
Außerdem gibt Meta an, dass im Rahmen des Trainings auch Daten von Dritten verwendet werden sollen und auch Internetquellen nach Informationen durchsucht und extrahiert werden. Die Beschaffung der Daten verläuft mithin unkontrolliert und uferlos.
Von Opt-Out und Dark Patterns
Da Meta der Überzeugung ist, dass es für die angedachten Datenverarbeitungen ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO habe, hielt der Konzern es nicht für nötig seinen Nutzern eine Opt-In-Möglichkeit zur Verfügung zu stellen. Vielmehr ermöglicht der Konzern seinen Usern zwar, die Option zum Opt-Out aus der Datenverarbeitung am 26. Juni, diese Option versucht man jedoch mit allen Mitteln zu erschweren. Hierbei werden sog. Dark Patterns benutzt, die Nutzer zu einer bestimmten Entscheidung zu bewegen, die für Meta günstig ist.
Beispiele hierfür sind unter anderem, dass der Internet-Konzern den Nutzer zwar in einer E-Mail über die Änderungen informiert, einen direkten Link zum Widerspruch gegen die in der Mail inkludierten Informationen gibt es jedoch nicht. Zudem werden in dem Widerspruch-Prozess unnötig viele Informationen abgefragt, was den Vorgang erheblich komplexer und mühseliger macht. Zuletzt muss ein Betroffener Meta eine Begründung liefern, wegen der er einer Datenverarbeitung nicht zustimmt. Dieser Umstand kann Nutzer aufgrund des „Mehraufwands“ beim Widerspruch gänzlich davon abzusehen.
Meta vergisst nicht
Dass das Löschen von personenbezogenen Daten bei Künstlichen Intelligenzen ein Problem ist, ist hinlänglich bekannt. Dieser Herausforderung kann sich auch Meta nicht entziehen. Vielmehr räumt Meta ein, dass es die Durchsetzung von Betroffenenrechten nicht gewährleisten kann. Laut noyb könne Meta eine Datenverarbeitung nicht mehr stoppen, wenn der User bis zum 26. Juni 2024 nicht widersprochen habe. Ab diesem Datum werden die personenbezogenen Daten für Trainingszwecke in die Künstliche Intelligenz eingespeist. Sind diese Daten sodann „in der KI“ ist es unmöglich diese wieder zu löschen. Meta sagt, dass man Einsprüche zwar „künftig“ berücksichtige, eine technische Garantie hierfür gibt es jedoch nicht.
Die irische Aufsichtsbehörde mittendrin
Eine Schlüsselrolle nahm in diesem Fall (mal wieder) die irische Datenschutzbehörde (DPC) ein. Die DPC, die inoffiziell als Hauptregulierungsbehörde für den Datenschutz in der EU bekannt ist, hatte das Vorhaben Metas zunächst genehmigt und der Internetplattform somit den Weg zu den personenbezogenen Daten der EU-Bürger frei gemacht.
Nachdem noyb jedoch bei mehreren Aufsichtsbehörden Beschwerde gegen Meta und seine KI-Pläne einlegt hatte, wurde der Druck auf die DPC jedoch immer größer. Anscheinend so groß, dass die Behörde Meta am 14. Juni dazu aufforderte, das Vorhaben zu seinem KI-Training auf Eis zu legen. Am selben Tag veröffentlichte die Behörde dann eine Mitteilung, in der man „begrüße“, dass die Pläne Metas in der EU gestoppt wurden. Eine klare Linie sieht anders aus…
Reaktionen auf den Planungsstopp
Der mediale Aufschrei und die Empörung über die Pläne des Unternehmens war groß. Nicht nur Experten, sondern auch viele Privatpersonen machten ihrem Unmut über die Pläne Metas Luft. Aber auch die Verbraucherzentrale Nordrhein-Westfalens hat den Internet-Konzern für diese Pläne abgemahnt.
noyb reagierte ebenfalls auf den Planungsstopp Metas. Zwar erkenne man an, dass das Unterbrechen des Vorhabens ein Schritt in die richtige Richtung sei, man werde die Situation jedoch weiterhin genau beobachten.
Dieser Fall hat hohes Präzedenzfall-Potenzial. Hier geht es nicht „nur“ um die Daten von vier Milliarden Nutzern, dieser Konflikt kann wegweisend für den künftigen Umgang mit Künstlichen Intelligenzen auf dem europäischen Markt sein.
Woher kommt die Zahl von 4 Milliarden. Eine Blick in den ersten Quartalsbericht von Meta ergab eine aktive Nutzerzahl von 3,24 Milliarden. Aber gut, eine marginale Differenz von circa 776 Millionen ist verzeihlich :)
Die Zahl bezieht nicht nur die derzeit aktiven Nutzerkonten bei meta ein. Vielmehr handelt es sich hierbei um alle Konten, (und damit auch Posts/Beiträge/Kommentare etc.) die seit Gründung im Jahr 2004 bei Facebook und Co. angemeldet waren. Zudem wird von noyb explizit in seinem Bericht erwähnt, dass Nutzerdaten von ca. 4 Milliarden Konten betroffen sind.