Meta: EU User von Facebook und Co. - können KI Training mit ihren Daten nun widersprechen

Meta informiert derzeit Nutzer von Facebook und Instagram in Europa über In-App-Benachrichtigungen über Änderungen seiner Datenschutzrichtlinie, die ab dem 26. Juni in Kraft treten. Das Unternehme habe laut DSGVO ein „berechtigten Interesse“ an der Nutzung von Nutzerdaten wie Beiträgen, Kommentaren, Audiodaten und Nachrichten an Unternehmen zu haben, um seine KI-Modelle zu trainieren. Private Nachrichten an Freunde und Familie sind ausgenommen, nicht jedoch Erwähnungen Ihres Namens oder Bilder, die Sie zeigen. Ein Pop-up informiert Nutzer darüber, dass ihre Daten für das KI-Training verwendet werden, sofern sie nicht widersprechen

Das von Meta angebotene Opt-out-Formular zur Nutzung von Daten für KI-Training weist mehrere kritische Punkte im Hinblick auf die DSGVO auf:

  1. Unklare Formulierungen: Das Formular verwendet unklare Formulierungen, die für den durchschnittlichen Nutzer schwer verständlich sein können. Begriffe wie „KI-gestützte Creative Tools“ oder „Meta AI“ sollten präziser erläutert werden, um Missverständnisse zu vermeiden.
  2. Bürokratische Hürden: Nutzer müssen detailliert erklären, wie sich die Datennutzung persönlich auf sie auswirkt. Diese Anforderung kann eine erhebliche Hürde darstellen, da viele Nutzer möglicherweise nicht in der Lage sind, dies klar zu artikulieren oder die rechtlichen Implikationen vollständig zu verstehen. Obwohl man bereits eingeloggt ist, muss man zum abschicken des Formulars auf eine 2 Faktor Email warten, die nach eigenem Test zumindest beim Mailanbieter gmx.de nie das Postfach erreicht. Nach Wechsel auf eine Gmail Adresse konnten wir dann aber doch den notwendigen 2 Faktor Code erhalten und die Anfrage abschicken.
  3. Eingeschränkte Wirkung: Selbst wenn der Einspruch erfolgreich ist, behält sich Meta das Recht vor, Daten weiter zu verarbeiten, wenn sie von Dritten hochgeladen werden. Dies untergräbt die Wirksamkeit des Opt-outs erheblich und könnte als Verstoß gegen die Grundsätze der Datenminimierung und Zweckbindung der DSGVO angesehen werden.
  4. Unzureichende Transparenz: Das Formular gibt nicht klar an, wie die Überprüfung der Einsprüche erfolgt und welche Kriterien dabei angelegt werden. Eine transparentere Darstellung des Überprüfungsprozesses wäre wünschenswert.
  5. Verwirrende Bedingungen: Der Hinweis, dass Daten auch verarbeitet werden können, wenn die Dienste nicht genutzt werden, sorgt für Verwirrung und Unsicherheit. Nutzer könnten fälschlicherweise glauben, dass ihre Daten unter allen Umständen geschützt sind, was hier nicht der Fall ist.

Insgesamt erscheint das Opt-out-Verfahren von Meta hinsichtlich der DSGVO-Anforderungen als unzureichend und bedarf einer deutlichen Verbesserung, um den Schutz der Nutzerdaten wirksam zu gewährleisten und den Anforderungen an Transparenz und Verständlichkeit gerecht zu werden. Wir hoffen, dass sich die Landes- und Bundesdatenschutzbeauftragten der Sache annehmen und hier für mehr Rechtssicherheit sorgen, denn diese Auslegung von “berechtigtem Interesse” und die komplizierte Möglichkeit auch erst nach Prüfung widersprechen zu können ist ganz bestimmt nicht im Sinne der Gesetzgeber.

Related Posts

BSI verklagt Microsoft wegen Sicherheitsvorfällen auf Herausgabe von Informationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu dessen Sicherheitsvorkehrungen zu erhalten. Trotz wiederholter Anfragen und Drohungen einer Klage hat Microsoft bisher nicht die geforderten Details geliefert. Daher griff das BSI nun zu Paragraf 7a des BSI-Gesetzes, um die Herausgabe von Informationen gerichtlich einzufordern.

Read More

EuGH Urteil: Hackerangriffe führen nicht mehr automatisch zu Bußgeldern

Ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023, könnte die Art und Weise, wie Unternehmen in der EU mit Datenschutzverletzungen umgehen, grundlegend verändern. In der Entscheidung (C-340/21) hat der EuGH klargestellt, dass das bloße Vorliegen einer unbefugten Offenlegung personenbezogener Daten nicht automatisch bedeutet, dass die vom Unternehmen getroffenen Sicherheitsmaßnahmen unzureichend waren. Vielmehr muss konkret bewertet werden, ob die Schutzmaßnahmen angesichts der spezifischen Risiken angemessen waren.

Read More

Hackerangriff auf den Flughafen Hamburg an Pfingsten

Am Pfingstsonntag ereignete sich ein Hackerangriff auf den Hamburg Airport. Die pro-russische Hackergruppe Just Evil/Kill Milk behauptet, Zugang zu bestimmten Bereichen des Flughafens erlangt zu haben und postete Screenshots und Überwachungsbilder als Beweis auf ihrem Telegram-Kanal.

Read More