noyb fordert 11 Behörden auf, Metas Missbrauch persönlicher Daten für KI zu stoppen

• 11 Beschwerden (eingebracht in Österreich, Belgien, Frankreich, Deutschland, Griechenland, Italien, Irland, den Niederlanden, Norwegen*, Polen und Spanien)
• Übersicht über Meta's kommunizierten Unwahrheiten zu Meta AI (in Englisch)

Verwendung von nicht öffentlichen Daten für eine undefinierte neue „KI-Technologie“. Mit der jüngsten Anpassung seiner Datenschutzerklärung bereitet sich Meta darauf vor, alle öffentlichen und nicht-öffentlichen Nutzer:innendaten (die es seit 2007 gesammelt hat) für eine undefinierte „KI-Technologie“ zu verwenden. Darüber hinaus gibt Meta an, zusätzliche Informationen von Dritten zu sammeln und Daten aus anderen Onlinequellen zu extrahieren. Die einzige Ausnahme scheinen Chats zwischen Privatpersonen zu sein. Gespräche mit Unternehmen sind hingegen nicht geschützt. Zu welchem Zweck die KI-Technologie verwendet werden soll, bleibt dabei unklar, was nicht mit den Anforderungen der DSGVO vereinbar ist. Metas Datenschutzrichtlinie würde theoretisch jeden beliebigen Verwendungszweck erlauben. All das ist äußert besorgniserregend, weil es um die persönlichen Daten von etwa 4 Milliarden Menschen geht. Zumindest die Nutzer:innen in der EU/EWR sollten (theoretisch) durch die DSGVO vor einem solchen Missbrauch geschützt sein.

Max Schrems: „Meta sagt im Grunde, dass es ‚beliebige Daten aus beliebigen Quellen für beliebige Zwecke verwenden und jedem auf der Welt zur Verfügung stellen kann‘, so lange dies über ‚KI-Technologie‘ passiert. Das widerspricht eindeutig der DSGVO. ‚KI-Technologie‘ ist ein unglaublich breiter Begriff und Meta sagt nicht, für welche Zwecke es die Daten verwenden wird. Es könnte sich daher um einen einfachen Chatbot, extrem aggressive personalisierte Werbung oder sogar eine Killerdrohne handeln. Meta sagt sogar, dass es die Daten beliebigen ‚Dritten‘ zur Verfügung stellen kann.“

Überwiegen die Interessen von Meta die Rechte der Nutzer:innen? Üblicherweise ist die Verarbeitung persönlicher Daten in der EU standardmäßig verboten. Meta muss sich daher auf eine von sechs Rechtsgrundlagen gemäß Artikel 6(1) DSGVO für die Verarbeitung berufen. Die logische Wahl wäre, eine Einwilligung der Nutzer:innen einzuholen. Stattdessen argumentiert Meta erneut, dass es ein „berechtigtes Interesse“ habe, das über den Grundrechten der Nutzer:innen steht. Meta hat das bereits im Zusammenhang mit der Verwendung persönlicher Daten für Werbung probiert – und wurde vom Europäischen Gerichtshof abgewiesen (siehe C-252/21). Jetzt beruft sich Meta auf dieselbe Rechtsgrundlage, um eine noch umfassendere und aggressivere Nutzung von persönlichen Daten zu rechtfertigen.

Max Schrems: „Der Europäische Gerichtshof hat im Zusammenhang mit Werbung bereits klargestellt, dass Meta kein berechtigtes Interesse hat, sich über das Recht auf Datenschutz der Nutzer:innen hinwegzusetzen. Dennoch versucht das Unternehmen, die gleichen Argumente für das Training einer nicht näher definierten KI-Technologie zu verwenden. Es scheint, als würde Meta die Urteile des EuGH wieder einmal rigoros ignorieren.“

Widerspruch ist eine Farce. Meta versucht, Nutzer:innen für die Sicherstellung ihrer eigenen Privatsphäre verantwortlich zu machen. Diese werden auf ein Widerspruchsformular (Opt-out) verwiesen, das sie ausfüllen sollen, wenn sie der Verwendung ihrer Daten widersprechen wollen. Theoretisch könnte ein Opt-out so implementiert werden, dass es nur einen Klick erfordert (wie z.B. der üblich „Abbestellen“-Link in Newslettern). Meta macht es dahingegen extrem kompliziert, Widerspruch einzulegen. Unter anderem müssen sogar persönliche Gründe angegeben werden. Eine technische Analyse der Opt-out-Links ergab außerdem, dass Meta eine Anmeldung verlangt, um eine ansonsten öffentliche Seite einzusehen. Insgesamt verlangt Meta dadurch von etwa 400 Millionen europäische Nutzer:innen einen Widerspruch, anstatt sie um Einwilligung zu bitten.

Max Schrems: „Es ist völlig absurd, die Verantwortung auf die Nutzer:innen abzuwälzen. Das Gesetz verlangt, dass Meta ihre Einwilligung einholt. Stattdessen stellt das Unternehmen ein verstecktes, trügerisches Opt-out-Formular bereit. Wenn Meta persönliche Daten verwenden will, muss es die Betroffenen eigentlich um ihre Erlaubnis bitten. Stattdessen müssen Nutzer:innen darum betteln, von der Datensammlung ausgenommen zu werden. Meta hat sich sogar die Mühe gemacht, möglichst viele Ablenkungen einzubauen, um sicherzustellen, dass sich möglichst wenige Menschen tatsächlich widersprechen.“

Irische DPC macht es möglich. Berichte deuten darauf hin, dass dieser eklatante Verstoß gegen die DSGVO (erneut) auf einem „Deal“ mit der Irischen Datenschutzkommission (Die DPC ist Metas EU-Regulierungsbehörde) beruht. Die DPC hatte schon einmal einen solchen Deal mit Meta, der dem Unternehmen eine Umgehung der DSGVO ermöglichte. Dieser endete mit einer Geldstrafe von 395 Millionen Euro gegen Meta, nachdem der Europäische Datenschutzausschuss (EDPB) die irische DPC überstimmt hatte.

Max Schrems: „Es scheint, als würde das neue Management der DPC einfach weiter illegale ‚Deals‘ mit großen US-Technologieunternehmen machen. Es ist unfassbar, dass die Datenschutzbehörde den Missbrauch nicht-öffentlicher persönlicher Daten von rund 400 Millionen europäischen Nutzer:innen einfach durchgehen lässt.“

Zusätzliche Probleme. Abgesehen davon, dass es keine Rechtsgrundlage für das Abgreifen von einer Unmenge an Nutzer:innendaten gibt, hat Meta bereits erklärt, dass es nicht zwischen den Daten von Nutzern in der EU/EWR und anderen Ländern unterscheiden kann. Meta hat außerdem klargemacht, dass es nicht zwischen sensiblen Daten gemäß Artikel 9 DSGVO (z.B. ethnische Zugehörigkeit, politische Meinung oder religiöser Überzeugung) und anderen Daten unterscheiden kann, für die ein „berechtigtes Interesse“ theoretisch gelten könnte. Mit der Einführung seiner KI-Technologien scheint Meta darüber hinaus gegen eine Reihe anderer Bestimmungen der DSGVO zu verstoßen. Insgesamt werden in den Beschwerden von noyb zumindest Verstöße gegen Artikel 5(1) und (2), 6(1), 9(1), 12(1) und (2), 13(1) und (2), 17(1)(c), 18(1)(d), 19, 21(1) und 25 DSGVO aufgeführt.

Max Schrems: „Mit dem Ansatz, beliebige Daten für beliebige Zwecke für beliebige ‚KI-Technologien‘ zu verwenden, hat Meta die DSGVO allumfassend ignoriert. Wir zählen Verstöße gegen mindestens zehn Artikel des Gesetzes.“

Die nächsten Schritte. Die zuständigen Datenschutzbehörden in Österreich, Belgien, Frankreich, Deutschland, Griechenland, Italien, Irland, den Niederlanden, Norwegen, Polen und Spanien werden nun schnell entscheiden müssen, ob sie ein Dringlichkeitsverfahren einleiten oder die Beschwerden in einem normalen Verfahren behandeln. Vor zwei Tagen hat die norwegische Datenschutzbehörde bereits einen Blogbeitrag veröffentlicht, in dem sie argumentiert, dass es „zweifelhaft“ („tvilsomt“) sei, ob Metas Ansatz rechtmäßig ist. Ein Dringlichkeitsverfahren könnte zu einem schnellen vorläufigen Verbot und einer endgültigen Entscheidung des EDSA innerhalb weniger Monate führen. Während die heutigen Beschwerden ein erster Schritt sind, scheint es plausibel, dass andere Organisationen Unterlassungsklagen, Zivilklagen oder sogar Sammelklagen einreichen werden, wenn Meta mit seinen Plänen fortfährt. Dies könnte zu weiteren rechtlichen Problemen für Meta in der Europäischen Union führen. noybs Maßnahmen gegen Meta haben bereits zu Verwaltungsstrafen in Höhe von mehr als 1,5 Milliarden Euro geführt.

Beschwerdeführer für andere EU-Mitgliedsstaaten. noyb plant, in den kommenden Tagen auch in den übrigen Mitgliedsstaaten Beschwerden einzureichen. Nutzer:innen aus diesen Mitgliedstaaten können mit diesem Formular ihr Interesse bekunden, Beschwerdeführer:innen zu werden.

*Die Beschwerde in Norwegen wurde gemeinsam mit dem norwegischen Verbraucherrat eingereicht (www.forbrukerradet.no).