KI-Training mit Nutzerdaten: noyb mahnt Meta ab – Verbandsklage könnte folgen

16. Mai 2025

Der Datenschutzverein noyb hat den US-Konzern Meta wegen geplanter Datenverwendung für KI-Trainings abgemahnt. Hintergrund ist Metas Ankündigung, ab dem 27. Mai persönliche Daten von Nutzern seiner Plattformen Facebook und Instagram in der EU für das Training Künstlicher Intelligenz zu nutzen – ohne explizite Zustimmung der Betroffenen. Stattdessen beruft sich Meta auf ein angebliches „berechtigtes Interesse“.

noyb sieht darin einen klaren Verstoß gegen europäisches Datenschutzrecht und verweist auf die seit kurzem gültige EU-Verbandsklagenrichtlinie. Diese erlaubt es qualifizierten Organisationen, wie noyb, grenzüberschreitende Unterlassungsklagen gegen Unternehmen einzubringen.

In einem ersten Schritt hat noyb Meta nun eine formelle Abmahnung übermittelt. Auch andere Verbraucherschutzorganisationen haben angekündigt, gegen das Vorhaben vorzugehen. Sollte es zu einer gerichtlichen Unterlassungsklage kommen und diese erfolgreich sein, droht Meta nicht nur ein Verbot der aktuellen Praxis, sondern auch Schadenersatzforderungen in Milliardenhöhe. Diese könnten im Rahmen einer separaten EU-Sammelklage geltend gemacht werden.

Im Kern steht die Frage, ob Meta auf ein datenschutzrechtlich fragwürdiges Opt-out-Verfahren setzen darf – anstelle einer aktiven Einwilligung der Nutzer:innen. Die rechtlichen und finanziellen Risiken für das Unternehmen wären enorm.

• noybs Abmahnschreiben an Meta Irland
• Reuters-Bericht über noybs Abmahnung
• Pressemitteilung der VZ NRW zu ihrer einstweiligen Verfügung für Deutschland
• Metas groteske Stellungnahme zur einstweiligen Verfügung der VZ NRW
• Ursprüngliche noyb-Beschwerden gegen Metas KI-Pläne

Meta AI ist nicht DSGVO-konform. Um persönliche Daten zu verwenden, müssen Unternehmen eine von sechs Rechtsgrundlagen gemäß Artikel 6(1) DSGVO einhalten. Eine davon ist die Opt-in-Einwilligung. Das bedeutet, dass Nutzer:innen eine ”freiwillige, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene” Zustimmung zur Verarbeitung ihrer Daten geben können – oder eben “nein” sagen oder schweigen können. Unternehmen können aber auch ein sogenanntes berechtigtes Interesse an der Verarbeitung persönlicher Daten geltend machen. Ein Dieb wird z.B. nicht damit einverstanden sein, dass er von einer Überwachungskamera gefilmt wird. Eine Bank kann trotzdem ein berechtigtes Interesse an der Nutzung von Überwachungskameras haben. Anstatt den Nutzern eine Wahlmöglichkeit zwischen “Ja” und “Nein” zu geben, behauptet Meta, ein solches berechtigtes Interesse für das KI-Training zu haben. Damit bleibt den Betroffenen nur noch das Widerspruchsrecht (Opt-out) nach Artikel 21 DSGVO. Meta schränkt dieses (gesetzlich verankerte) Recht aber weiter ein. Laut Meta gilt es nur, wenn man bereits vor Beginn des Trainings widerspricht.

Meta wird wahrscheinlich auch nicht in der Lage sein, andere DSGVO-Rechte einzuhalten (wie das Recht auf Vergessenwerden, das Recht auf Korrektur falscher Daten oder das Auskunftsrecht). Außerdem stellt Meta KI-Modelle wie Llama als Open-Source-Software zur Verfügung, die jeder herunterladen und nutzen kann. Das bedeutet, dass Meta ein Modell nach der Veröffentlichung kaum zurückrufen oder aktualisieren kann.

Max Schrems: “Der Europäische Gerichtshof hat bereits entschieden, dass Meta für personalisierte Werbung kein ‘berechtigtes Interesse’ geltend machen kann. Wie sollte Meta dann ein berechtigtes Interesse daran haben, alle Daten für das KI-Training abzugreifen? Die Bewertung des berechtigten Interesses ist zwar immer eine Prüfung mehrerer Faktoren, aber diese scheinen für Meta allesamt in die falsche Richtung zu weisen. Meta sagt einfach, dass seine Profitinteressen über den Rechten der Nutzer stehen.”

Einfache Lösung: Betroffene um ihre Einwilligung bitten! Meta versucht das Bild zu zeichnen, dass die Einhaltung der DSGVO das Training von KI unmöglich machen würde (siehe die absurde Pressemitteilung für Deutschland). Dabei bietet die DSGVO eine simple Lösung: Meta müsste seine Nutzer lediglich um ihre Einwilligung bitten, um ihre persönlichen Daten für KI-Training zu verwenden. In Anbetracht von Metas enormen Nutzerzahlen würde es schon ausreichen, wenn nur 10% der Betroffenen ihr OK geben, um EU-Sprachen und Ähnliches zu lernen. Wenn Meta die Bedingungen für das Training (z.B. Anonymisierung) klar benennen würde, würden einige Menschen wahrscheinlich ihre Daten zur Verfügung stellen. Es ist jedoch völlig absurd, zu argumentieren, dass Meta dafür die persönlichen Daten aller Facebook- und Instagram-Nutzer der letzten 20 Jahre benötigt. Die meisten anderen KI-Anbieter (wie OpenAI oder das französische Unternehmen Mistral) haben keinen Zugang zu Social-Media-Daten. Ihre KI-Systeme sind jenem von Meta dennoch überlegen.

Max Schrems: „In diesem Streit geht es im Wesentlichen darum, ob man die Leute um ihre Zustimmung bitten oder ihre Daten einfach ohne diese nehmen darf. Meta fängt einen riesigen Kampf an, nur um ein Opt-out- anstelle eines Opt-in-Systems zu haben. Stattdessen beruft man sich auf ein angebliches ‚berechtigtes Interesse‘, um die Daten einfach zu nehmen und versucht, einfach damit durchzukommen. Das ist weder legal noch notwendig. Metas absurde Behauptung, dass der Diebstahl der persönlichen Daten aller User für das KI-Training notwendig sei, ist lächerlich. Andere KI-Anbieter verwenden keine Daten aus sozialen Medien – und entwickeln bessere Modelle als Meta.”

Unterlassungsklage und mögliche Sammelklagen. Als Qualifizierte Einrichtung gemäß der EU-Verbandsklagen-Richtlinie kann noyb eine Unterlassungsklage einreichen, um eine rechtswidrige Praxis von Unternehmen wie Meta zu stoppen. Sollte das zuständige Gericht eine Unterlassungsverfügung erlassen, müsste Meta nicht nur die Verarbeitung einstellen, sondern auch alle unrechtmäßig trainierten KI-Systeme löschen. Wenn EU-Daten mit Nicht-EU-Daten vermischt werden, müsste das gesamte KI-System gelöscht werden. Eine Unterlassungserklärung würde auch die Verjährungsfrist für Schadenersatzforderungen stoppen. Das bedeutet: Mit jedem Tag, an dem Meta europäische Daten für KI-Training nutzt, steigen die potenziellen Schadenersatzforderungen der Betroffenen. Die DSGVO erkennt auch immaterielle Schäden für Datenschutzverletzungen an, die oft hunderte oder sogar tausende Euro pro Nutzer ausmachen können.

Neben einer Unterlassungsklage kann jede Qualifizierte Einrichtung auch eine Verbandsklage (ähnlich zu einer US-Sammelklage) einreichen, um solche Schäden für große Gruppen von Betroffenen geltend zu machen. noyb und andere Qualifizierte Einrichtungen (siehe aktuelle Liste der EU) hätten Jahre Zeit, eine solche Klage einzureichen. Wenn der immaterielle Schaden nur € 500 pro Person betragen sollte, würde das für die rund 400 Million aktiven Meta-Nutzern etwa € 200 Milliarden ausmachen.

Max Schrems: „Wir prüfen derzeit unsere Möglichkeiten zur Einreichung von Unterlassungsklagen. Es besteht aber auch die Option einer anschließenden Sammelklage auf immateriellen Schadenersatz. Wenn man an die mehr als 400 Millionen europäischen Meta-Nutzer denkt, die alle einen Schadenersatz von mehreren Hundert Euro fordern könnten, kann man sich den Rest ausrechnen. Wir sind sehr überrascht, dass Meta dieses Risiko eingeht, nur um die Menschen nicht um ihre Einwilligung zu bitten.”

Unterlassungsklagen in anderen EU-Staaten. Während die Reaktionen auf Metas eklatanten Verstoß gegen die DSGVO schnell aufeinanderfolgen, prüfen verschiedene Gruppen in der EU ihre Optionen für Rechtsstreitigkeiten. Die deutschen Verbraucherverbände (angeführt von der Verbraucherzentrale Nordrhein-Westfalen, „VZ NRW“) haben bereits ihre Absicht verkündet, eine gerichtliche Unterlassung gegen Meta erwirken zu wollen. Es ist außerdem zu erwarten, dass viele Einzelpersonen gegen Meta wegen der Verwendung ihrer Daten für das KI-Training vorgehen werden.

Max Schrems: „Wir erwarten, dass die Nutzung von Social-Media-Daten für das KI-Training eine Menge Rechtsstreitigkeiten in der gesamten EU auslösen wird. Schon allein die Bewältigung dieser Rechtsstreitigkeiten wird eine große Aufgabe für Meta sein.“

Die Datenschutzbehörden scheinen das Vorgehen nicht zu unterstützen. Eigentlich sollten die nationalen Datenschutzbehörden bei Nichteinhaltung der DSGVO eingreifen.

Wir stellen jedoch fest, dass sie in einigen Mitgliedstaaten im Wesentlichen nur als Boten für Meta fungieren: Viele Datenschutzbehörden haben die Betroffenen lediglich “informiert”, dass sie Metas KI-Training dringend widersprechen sollten. Damit wird die Verantwortung auf die Nutzer abgewälzt.

Meta behauptet auch öffentlich, mit den Aufsichtsbehörden über die Verwendung von Social-Media-Daten für das KI-Training “gesprochen” zu haben. Soweit noyb informiert ist, haben sich die Behörden aber kaum zur Rechtmäßigkeit dieses Vorhabens geäußert. Meta scheint also einfach weiterzumachen – und damit ein weiteres großes Rechtsrisiko in der EU einzugehen.

Max Schrems: “Soweit wir gehört haben, hat Meta zwar mit den Behörden ‘verhandelt’, was aber zu keinem grünen Licht geführt hat. Meta scheint einfach weiterzumachen und die EU-Datenschutzbehörden zu ignorieren. Die Behörden scheinen unterdessen zu schweigen – und den Nutzern zu raten, sich selbst zu schützen. Die Datenschutzbehörden verlieren immer mehr an Bedeutung und NGOs müssen vor Gericht klagen.”

---

Bild/Quelle: https://depositphotos.com/de/home.html