Unzulässigkeit der Nutzung von Social-Media-Daten zum Training Künstlicher Intelligenz

Meta, der Mutterkonzern von Facebook und Instagram, plant, persönliche Inhalte seiner Nutzerinnen und Nutzer aus der EU zum Training von Künstlicher Intelligenz (KI) zu verwenden. Dabei sollen unter anderem Posts, Likes, Fotos und weitere Aktivitäten auf den Plattformen in große Sprachmodelle wie „LLaMA“ einfließen.

Die geplante Datenverarbeitung verstößt allerdings in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung (DSGVO). Für Meta könnten daraus nicht nur hohe Geldstrafen, sondern auch erhebliche zivilrechtliche Risiken entstehen.

Meta beabsichtigt, persönliche Daten von Nutzerinnen und Nutzern aus der Europäischen Union auf Facebook und Instagram zum Training generativer KI-Modelle zu verwenden. Dazu zählen Beiträge, Kommentare, Likes, Reaktionen, Fotos, Videos sowie Metadaten aus Nutzerinteraktionen. Nach Angaben des Unternehmens sollen diese Informationen genutzt werden, um KI-Systeme – wie etwa das Sprachmodell LLaMA – an europäische Sprachen, Kulturen und soziale Besonderheiten anzupassen.

Der Umfang der Daten, die Meta für das Training seiner KI-Systeme verwenden möchte, ist erheblich und hochgradig sensibel. Ab dem 27. Mai 2025 plant Meta, sämtliche "öffentliche" Informationen zu nutzen, die auf den Profilen der Nutzer bei Facebook und Instagram vorhanden sind. Dazu zählen unter anderem:

• Inhalts- und Aktivitätsdaten: Beiträge, Kommentare, Likes, Fotos, Videos, Stories und Live-Inhalte
• Profildaten: Biografie, Beziehungsstatus, Interessen, Profilbilder
• Technische und gerätebezogene Daten: IP-Adresse, Gerätetyp, Betriebssystem, App-Version, Cookies
• Nutzungsverhalten und soziale Verbindungen: Klick- und Scrollverhalten, Story-Ansichten, Follower-Netzwerke, Kommunikationsverläufe
• Externe Quellen: Daten von Drittwebseiten mit Meta-Integration sowie von Werbe- und Analysepartnern
• Abgeleitete Profilinformationen: Vermutete Interessen, Konsumgewohnheiten, politische oder religiöse Überzeugungen, persönliche Merkmale

Konkret bezieht sich Meta auf alle öffentlichen Profilinformationen – also Inhalte, deren Sichtbarkeit für andere Nutzer nicht privat oder eingeschränkt ist.

Meta erklärt, Daten von minderjährigen Nutzern sowie von Personen, die der Verarbeitung widersprochen haben, vom KI-Training auszunehmen. Doch dieser Schutz greift in der Praxis nur eingeschränkt.

Denn Meta weist selbst darauf hin, dass auch personenbezogene Daten Dritter in die Trainingsdaten gelangen können – etwa wenn eine Person auf einem öffentlich geposteten Foto erscheint oder in einem Kommentar erwähnt wird. Auch bei einem aktiven Widerspruch ist daher davon auszugehen, dass indirekte Informationen – wie Markierungen, geteilte Inhalte oder Nennungen durch andere – in das KI-Training mit einfließen. Hierdurch wird der Anspruch auf informationelle Selbstbestimmung faktisch unterlaufen.

Die Verarbeitung der Nutzerdaten erfolgt nicht nur für das Training eines spezifischen KI-Modells, sondern umfassend für die "Entwicklung verschiedener KI-Systeme". Meta plant, diese Daten häufig plattformübergreifend zu kombinieren, beispielsweise zwischen Facebook und Instagram oder über gemeinsam genutzte Geräte und verknüpfte Konten. Dadurch können äußerst detaillierte Persönlichkeitsprofile entstehen.

Ein nach dem 27. Mai eingelegter Widerspruch gegen die Nutzung der eigenen Daten ist zwar möglich und gilt für die Zukunft, das bereits erfolgte Training mit den eigenen Daten kann dadurch jedoch nicht rückgängig gemacht werden. Die Datenschutzbehörden bleiben passiv und weisen darauf hin, dass Nutzer möglichst vor dem 27. Mai 2025 widersprechen sollten. Meta bietet hierfür spezielle Online-Formulare an, die ausschließlich von angemeldeten Nutzern ausgefüllt werden können. Die Angabe der bei Facebook oder Instagram verwendeten E-Mail-Adresse ist dabei verpflichtend, eine Begründung für den Widerspruch ist jedoch nicht erforderlich.

Für Meta AI in WhatsApp gibt es derzeit keine Möglichkeit zum Widerspruch. Meta erklärt, dass Eingaben aus der EU aktuell nicht für Trainingszwecke verwendet werden. Nutzer, die dennoch keine Verarbeitung ihrer Daten wünschen, sollten den Chatbot nicht nutzen.

Die Nutzung dieser umfangreichen und sensiblen Daten durch Meta verstößt in mehreren Punkten gegen die Datenschutz-Grundverordnung (DSGVO). Besonders problematisch ist, dass viele der verarbeiteten Informationen Rückschlüsse auf politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten oder die sexuelle Orientierung zulassen – also Daten, die laut DSGVO besonders geschützt sind.

Für deren Verarbeitung wäre eine ausdrückliche Einwilligung der betroffenen Personen notwendig. Eine bloße Information und die Möglichkeit zum Widerspruch (Opt-out) reichen dafür nicht aus. Meta beruft sich stattdessen auf ein „berechtigtes Interesse“ als Rechtsgrundlage. Dies trägt die geplante Datenverarbeitung allerdings nicht.

Zudem fehlt es an Transparenz: Nutzer wissen nicht, wie ihre Daten konkret verwendet werden sollen.

Auch die Betroffenenrechte – etwa Auskunft oder Löschung – sind im Zusammenhang mit KI-Training praktisch kaum durchsetzbar.

Was Meta hier plant, ist beispiellos: Kein anderes Unternehmen verfügt über ein derart umfassendes Set an personenbezogenen Daten wie Meta – gesammelt über Jahre hinweg auf Facebook und Instagram. Es geht nicht nur um einzelne Angaben, sondern um ein feinmaschiges Netz aus direkten und indirekten Informationen, aus dem sich detaillierte Persönlichkeitsprofile ableiten lassen.

Durch die Kombination von Profilinformationen, Verhaltensdaten, Interaktionen und Interessen entsteht ein nahezu vollständiges Bild des Menschen hinter dem Account – einschließlich politischer Überzeugungen, religiöser Ansichten, gesundheitlicher Aspekte oder sexueller Identität.

Diese Tiefe der Analyse birgt gravierende Risiken für die Privatsphäre und das Persönlichkeitsrecht der Betroffenen. Sowohl die Art der Daten, als auch deren schiere Menge machen die geplante Verarbeitung zu einem datenschutzrechtlich beispiellosen Vorgang.

Zwar wurden auch andere große Sprachmodelle mit öffentlich zugänglichen "Internetdaten" trainiert – doch nie zuvor mit solch umfassenden, direkt personenbezogenen und tief in das Privatleben eingreifenden Informationen wie jenen aus Facebook- und Instagram-Profilen. Die Gefahr für die Betroffenen ist in diesem Fall ungleich größer als bei bisherigen KI-Projekten.

Meta beruft sich für die Verarbeitung der Nutzerdaten nicht auf eine ausdrückliche Einwilligung, sondern auf das sogenannte „berechtigte Interesse“. Dabei handelt es sich um eine Rechtsgrundlage nach Art. 6 Abs. 1 f) DSGVO, die unter bestimmten Bedingungen erlaubt, personenbezogene Daten auch ohne Einwilligung zu verarbeiten – sofern nicht die Rechte der betroffenen Personen überwiegen.

Doch genau daran scheitert Metas Argumentation: Bei einer so tiefgreifenden und weitreichenden Datenverarbeitung – einschließlich sensibler Inhalte – wiegt das Schutzinteresse der Nutzer deutlich schwerer. Die betroffenen Personen haben keine echte Kontrolle darüber, was mit ihren Daten geschieht. Zudem müsste genauer erklärt werden, welche Datenkategorien für welche Trainingszwecke tatsächlich erforderlich wären.

Eine echte Abwägung zwischen Unternehmensinteresse und Grundrechten der Nutzer findet nicht statt. Damit ist das „berechtigte Interesse“ keine tragfähige Rechtsgrundlage für dieses Vorhaben.

Die DSGVO räumt jeder betroffenen Person umfangreiche Rechte ein: etwa auf Auskunft, Berichtigung, Löschung oder Widerspruch gegen die Verarbeitung ihrer Daten. Doch im Kontext des KI-Trainings durch Meta bleiben diese Rechte weitgehend wirkungslos.

Ein zentrales Problem: Sobald personenbezogene Daten in ein KI-Modell eingeflossen sind, lassen sie sich aus dem Modell kaum mehr entfernen oder eindeutig zurückverfolgen. Nutzer wissen oft nicht, ob und welche ihrer Inhalte verwendet wurden. Selbst wenn sie widersprechen oder Inhalte löschen lassen, ist nicht sichergestellt, dass diese nicht weiterhin indirekt im Modell erhalten bleiben.

Auch Daten, die andere Personen – etwa in Kommentaren, Markierungen oder Gruppenbeiträgen – eingebracht haben, können weiterhin verarbeitet werden, selbst wenn Betroffene selbst Widerspruch eingelegt haben. Damit wird das Recht auf informationelle Selbstbestimmung in der Praxis ausgehebelt.

Ein wesentliches Prinzip der DSGVO ist zudem die Transparenz: Nutzer sollen verstehen können, was mit ihren Daten geschieht. Doch genau hier versagt Meta. Die bereitgestellten Informationen sind unkonkret und lassen viele zentrale Fragen offen – etwa, welche Daten konkret verwendet werden, zu welchem Zweck genau, und wie mit bereits gelöschten Inhalten umgegangen wird.

Die Funktionsweise großer KI-Modelle ist technisch komplex und für Außenstehende kaum nachvollziehbar. Einmal trainiert, lassen sich die Inhalte im Modell nicht mehr eindeutig einzelnen Personen zuordnen oder gezielt löschen. Nutzer verlieren damit die Kontrolle über ihre Daten, was durch die DSGVO verhindert werden soll.

Besonders bedenklich ist Metas Absicht, trainierte KI-Modelle – wie schon im Fall von LLaMA 2 – öffentlich als Open Source bereitzustellen. Das bedeutet: Jeder auf der Welt kann das Modell herunterladen, weiterverwenden oder verändern. Damit verlieren Meta und auch Aufsichtsbehörden jegliche Kontrolle darüber, wie die Daten im Modell künftig genutzt werden – selbst wenn sie sensible oder personenbezogene Inhalte enthalten.

Einmal veröffentlicht, lassen sich solche Modelle nicht mehr zurückholen. Personenbezogene Daten, die ins Training eingeflossen sind, könnten über Umwege wieder sichtbar werden oder für andere Zwecke missbraucht werden – etwa durch gezielte „Prompts“ (Anfragen an das Modell über Personen). Betroffene hätten kaum eine Möglichkeit, sich dagegen zu wehren oder ihre Rechte geltend zu machen. Dieses Risiko des vollständigen Kontrollverlusts stellt einen besonders schweren Eingriff in die Privatsphäre dar.

Sollte Meta die geplante Datenverarbeitung wie beschrieben umsetzen, drohen erhebliche rechtliche Konsequenzen. Die Datenschutzbehörden in der EU haben die Möglichkeit, die Verarbeitung zu untersagen, die Löschung bereits verarbeiteter Daten anzuordnen oder empfindliche Geldbußen zu verhängen – bis zu 4 % des weltweiten Jahresumsatzes. Bei einem Konzern wie Meta entspricht das mehreren Milliarden Euro.

Doch auch zivilrechtlich könnte es teuer werden: Einzelpersonen haben Anspruch auf Schadensersatz, wenn ihre Daten unrechtmäßig verwendet wurden – und zwar auch für immaterielle Schäden wie Kontrollverlust oder emotionale Belastung. In der Praxis könnten pro Person mehrere Tausend Euro anfallen. Bei Millionen Betroffenen ergibt sich daraus ein finanzielles Risiko in zweistelliger Milliardenhöhe. Das wirtschaftliche Risiko übersteigt damit sogar die mögliche DSGVO-Strafe.

Meta plant, eine der umfassendsten Datensammlungen der Welt zur Entwicklung von Künstlicher Intelligenz zu nutzen – ohne ausdrückliche Einwilligung der betroffenen Personen. Die geplante Datenverarbeitung betrifft hochsensible Informationen, erfolgt in intransparenter Weise und entzieht sich weitgehend der Kontrolle der Nutzer. Weder die Berufung auf ein „berechtigtes Interesse“ noch die angebotene Widerspruchsmöglichkeit genügen den Anforderungen der DSGVO.

Das Ergebnis der datenschutzrechtlichen Bewertung ist eindeutig: Die geplante Datenverarbeitung ist rechtswidrig. Meta muss daher nicht nur mit erheblichen Sanktionen seitens der Aufsichtsbehörden rechnen, sondern – was noch schwerer wiegen dürfte – mit einer Vielzahl von Schadensersatzklagen betroffener Personen.

Hinweis: Das vollständige Rechtsgutachten mit detaillierter rechtlicher Einordnung steht im Download-Bereich zur Verfügung und bietet eine vertiefte Analyse der DSGVO-Verstöße.