Nachdem in den letzten Wochen in der Welt der Sozialen Netzwerke wieder einmal große Aufregung herrschte, können alle Nutzenden von Facebook und Instagram vorerst aufatmen.
Mehr oder weniger still und heimlich beabsichtigte die Meta Platforms Inc. (im Folgenden „Meta“) ihre Nutzungsbedingungen zu ändern und den Grundstein dafür zu legen, Millionen von europäischen Nutzerdaten für das Trainieren der hauseigenen KI (Meta AI) verarbeiten zu können – nun rudert der Internetriese zurück.
Was bisher geschah
Angekündigte Änderung der Nutzungsbedingungen
Ab heute, 26. Juni 2024, sollten die aktualisierten Nutzungsbedingungen von Meta ihre Wirkung dahingehend entfalten, dass jegliche Daten, die auf Facebook oder Instagram veröffentlicht werden – ob Fotos, Storys, Reels oder Beiträge – zum Trainieren ihrer eigenen KI verwendet werden sollten. Einzige Ausnahme: Private Nachrichten und Daten von Minderjährigen. Das hieße, es wären auch Daten von Personen betroffen, die selbst zwar keinen Account bei Facebook oder Instagram haben, die aber in Posts von Nutzenden zu sehen sind.
Jedoch war die Benachrichtigung über die aktualisierten Nutzungsbedingungen und das Training der KI nicht unbedingt offensichtlich. So tauchte sie bei Facebook neben allen anderen Benachrichtigungen über Likes, Gruppen, Freunde-Aktivitäten, Erinnerungen etc. auf und konnte so schnell übersehen werden.
Beliebige Daten, beliebige Zwecke, beliebige Empfänger
Nach Ansicht von Meta, ist das Verwenden der Nutzerdaten zum Trainieren der KI zulässig, da es ein berechtigtes Interesse aus Art. 6 Abs 1 lit. f DSGVO an der Verarbeitung habe, um seinen Kund*innen ein noch besseres Angebot bieten zu können. Diese Ansicht wird von vielen Seiten kritisch beäugt. Insbesondere die Nichtregierungsorganisation noyb hatte in den letzten Wochen bereits mehr als zehn Beschwerden bei Aufsichtsbehörden in verschiedenen europäischen Ländern gegen die Vorgehensweise von Meta eingelegt. Denn Meta verschleiere in seiner Richtlinie u. a., welche Daten konkret für welche Art von KI und zu welchen Zwecken die KI-Technologie verarbeitet werden sollen. Schließlich sollen diese Daten auch beliebigen Dritten zur Verfügung gestellt werden können – vollkommene Intransparenz und ein grundlegender DSGVO-Verstoß lassen grüßen (vgl. Art. 5 Abs. 1 DSGVO).
Darüber hinaus gab Meta selbst bekannt, dass es nicht in der Lage sei, eine Differenzierung zwischen sensiblen und anderen Daten vorzunehmen. Aus Sicht der DSGVO kann eine Heranziehung des berechtigten Interesses als Rechtsgrundlage vor diesem Hintergrund keinen Bestand haben, da die Verarbeitung sensibler Daten nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten ist, und eine Ausnahme nur in den in Absatz 2 beschriebenen Fällen zulässig ist. Ein Ausnahmetatbestand ist hier jedoch nicht ersichtlich – zumal sich Meta bewusst dagegen entschieden hat, von den Facebook- und Instagram-Nutzenden in angemessener Art und Weise eine Zustimmung einzuholen (Opt-in).
Abwälzung der Verantwortung auf Nutzer*innen
Stattdessen soll die Verantwortung zur Sicherstellung der Privatsphäre auf die Nutzenden verlagert werden. Wenn die Nutzenden eine Verarbeitung ihrer Daten zu Zwecken des KI-Trainings nicht wünschen, müssen sie selbst die Initiative ergreifen und der beabsichtigten Datenverarbeitung rechtzeitig widersprechen (Opt-out).
Zumindest war Meta so „großzügig“, ein mehr oder weniger verstecktes Widerspruchsformular bereitzustellen. Das Aufrufen und Ausfüllen des Formulars funktionieren aber nur mit eingeloggtem Account der Nutzenden.
Neben der Angabe des Wohnsitzlandes und der E-Mail-Adresse verlangt Meta zudem eine Beschreibung, „wie sich diese Verarbeitung [auf den Nutzenden] auswirkt“.
Die Angabe von Gründen ist in Fällen des Widerrufs nicht ungewöhnlich, da die betroffene Person nach Art. 21 DSGVO nur das Recht hat, „[…] aus Gründen, die sich aus ihrer besonderen Situation ergeben […] Widerspruch einzulegen […]“.
Der Satz „Ich möchte nicht, dass meine Daten zum KI-Training verwendet werden.“ reicht dabei allerdings nicht aus, vielmehr muss die Sorge oder das Unwohlsein, die mit dieser Datenverarbeitung zusammenhängen deutlich gemacht werden. Welche Gründe im Widerspruch angegeben werden und dabei helfen können, dass Meta den Widerspruch akzeptiert, kann bei der Verbraucherzentrale Nordrhein-Westfalen nachgelesen werden. Dort gibt es auch eine Schritt-für-Schritt-Anleitung, um zum entsprechenden Widerspruchs-Formular zu gelangen.
Meta rudert zurück
Bereits in der Vergangenheit beabsichtigte die irische Datenschutzbehörde (DPC) dem Konzern seine zweifelhaften Vorhaben durchgehen zu lassen (wir berichteten). Dieses Mal wurde der Druck von außen aufgrund der u. a. von noyb eingereichten Beschwerden, aber wohl schnell zu groß. Die irische Datenschutzbehörde, welcher die Tochtergesellschaft Meta Platforms Ireland Ltd. im europäischen Raum unterliegt, forderte Meta schließlich auf, davon abzusehen, die KI mit europäischen Nutzerdaten zu trainieren.
Am 14. Juni 2024 verkündete Meta dieser Aufforderung vorerst nachzukommen und die Nutzerdaten nicht wie geplant zum KI-Training zu verarbeiten. Meta betonte, dass Meta AI im europäischen Raum nicht zur Verfügung gestellt werden könnte und die Nutzenden somit nicht in den Genuss der KI-Technologie kommen. Meta dürfte aber wohl überwiegend ärgern, dass es selbst nicht in den Genuss der europäischen Nutzerdaten zum Trainieren seiner KI kommt – zumindest nicht, solange Meta sich weiterhin auf sein berechtigtes Interesse zur Datenverarbeitung beruft.
Fazit
Auch wenn Meta mitteilte, die europäischen Nutzerdaten nicht für das Trainieren der KI zu verwenden, hat sich das Thema sicher noch nicht abschließend erledigt, sodass die hier gegebenen Informationen zu einem späteren Zeitpunkt womöglich wieder aktuell sein könnten.
Schließlich hat Meta die aktualisierte Datenschutzrichtlinie, die ab dem 26. Juni 2024 gelten soll, hinsichtlich der Bestimmungen zur KI bisher nicht geändert (Stand: 21.06.), daher sollte vorsichtshalber Widerspruch eingelegt werden.
Die Aktion und das Verhalten von Meta zeigen, dass (versteckte) Benachrichtigungen über aktualisierte Datenschutzrichtlinien nicht einfach ignoriert, sondern auch gelesen werden sollten. Auch sollten Nutzende von ihrem Widerspruchsrecht Gebrauch machen bzw. nicht unbedarft Einwilligungen erteilen, um die eigenen Daten vor derartigen und ggf. unrechtmäßigen Verarbeitungen zu schützen.
Wer Meta, anderen Social Media Anbietern oder auch sonstigen Internetriesen nicht mehr traut, sollte sich überlegen, ob und welche Daten er*sie in Zukunft veröffentlichen möchte oder ob es nicht an der Zeit ist, sein Konto zu löschen und von der weiteren Nutzung des Dienstes abzusehen.
Anonymous
26. Juni 2024 @ 15:37
Ich nutze kein Facebook aber Instagram und habe gar keine Benachrichtigung bekommen, habe davon nur durch ein Reel erfahren. „mehr oder weniger verstecktes Widerspruchsformular“ ist auch gut, ich habe (als Informatiker) eine Weile gebraucht um es zu finden, dann hätte ich, wie ich hier gerade erfahre, auch noch einen unzureichenden Grund eingetragen, was aber letztlich auch egal war weil ich (ein Schelm wer Böses dabei denkt) die Verifikationsmail nie bekommen habe.
Insofern vielen Dank noyb.