Verbraucherzentrale scheitert gegen Metas KI Training – DS News KW 22/2025

Transkript zur Folge:

Alles klar, die Aufnahme läuft. Wir legen los.
Ich kann das gar nicht mehr nach drei Wochen Urlaub.
Also, dein Name ist, Moment, ich gucke gerade nach, du müsstest Laura sein. Ich nicht. Okay, gut.
Und ich, warte, ah.
Irgendwas mit H war es.
Irgendwas mit H war es. Heiko. So, jetzt haben wir es. Okay,
mehr brauchen wir nicht. Okay.
Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 30. Mai 2025.
Unser Redaktionsschluss war heute um 10 Uhr und wir begrüßen euch herzlich zum
Datenschutz-Talk, um auf die Woche des Datenschutzes zurückzublicken.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Wir haben natürlich eine kurze Woche, weil es war ein Feiertag gestern.
Nichtsdestotrotz haben wir ein paar Themen dabei. Was hast du mitgebracht, liebe Laura?
Ich habe mitgebracht ein Update zu dem Top-Thema aus der letzten Woche,
denn es hatte sich nach unserer Aufnahme noch ergeben, dass es ein Eilverfahren
gab gegen Meta und das KI-Training.
Dann geht es weiter bei mir mit einem Sicherheitsrisiko beim bekannten Passwortmanager
KeePass und ich habe auch für das Wochenende meine Lieblingsrubrik mitgebracht,
beziehungsweise darf ich die eröffnen mit einer Leseempfehlung und einem Veranstaltungshinweis.
Wunderbar, davon hätte ich auch einen. Außerdem bringe ich mit ein Urteil aus
Bremen zum Thema nachvertragliche Kundenrückgewinnungswerbemaßnahmen,
was ich sehr interessant finde und ein Update oder auch ein Urteil zum Privacy
and Civil Liberty Oversight Board in den USA.
Ein nicht ganz unwichtiges Gremium, wenn es um unser Data Privacy Framework geht.
Damit würde ich sagen, wir gucken mal, was sonst noch so passiert ist, oder?
Was aber auch noch passiert ist, ich wollte meinen Urlaub dazu nutzen,
Heiko, die neue Themenfolge mir anzuhören.
Mit Stefan Auge und dir, es hat nicht funktioniert. Was war denn da los?
Ja, das ist ein guter Punkt, den du da ansprichst. Also die Themenfolge zum
Thema NIST 2, die ist jetzt wieder verfügbar.
Es gab da eine technische Schwierigkeit und deshalb wurde dann leider die Folge
mit einer News-Folge überschrieben und dadurch war dann halt eine Zeit lang
diese Themenfolge nicht verfügbar.
Das haben wir aber behoben, dank Hilfe von Kollegen, die das identifiziert haben.
Und deswegen ist jetzt die komplette Folge zum Thema NIST 2 wieder verfügbar.
Und alle, die sich mit dem Thema schon beschäftigt haben oder aber beschäftigen
möchten, ist das auf jeden Fall eine gute Idee, da mal reinzuhören.
Denn wir gehen darauf ein, was überhaupt NIST 2 ist, für wen gilt es,
aber auch welche Pflichten entstehen. Wir sprechen aber auch unter anderem über
die Herausforderungen bei Lieferkettenmanagement bis hin zu Sanktionen.
Denn auch die kann es halt geben, wenn man NIST 2 verpflichteter ist, sie aber nicht umsetzt.
Also wie gesagt, Themenfolge ist verfügbar und wir haben ja auch einen Link
extra in den Shownotes immer drin, wo man nur die Themenfolgen darüber abrufen kann.
Also ihr müsst gar nicht so lange scrollen, denn die Folge wurde Anfang Mai schon veröffentlicht.
Ja, dann kann es ja auch für mich losgehen.
Jawohl, so ist es.
Losgehen ist mein Stichwort, oder?
Jawohl.
Soll ich mal beginnen mit der ersten Nachricht?
Mach das bitte.
Ja, wie ja gerade schon gesagt, möchte ich gerne das Top-Thema der vergangenen
Woche von Natalia nochmal aufgreifen.
Denn ja, wie gesagt, es hat es nach dem Redaktionsschluss am Freitag, also am 23.
Mai, noch ein Update gegeben. Denn das Überall-Landesgericht Köln hat im Eilverfahren
einen Antrag der Verbraucherzentrale Nordrhein-Westfalen gegen Meta abgelehnt,
der eben die Nutzung öffentlich gestellter Nutzerdaten für das Training künstlicher Intelligenz ab dem 27.
Mai 2025 verhindern sollte.
Das Oberlandesgericht bestätigte hierin, dass Meta-personenbezogene Daten aus
öffentlich sichtbaren Nutzerprofilen für das Training von KI-Systemen verwenden darf,
sofern eben die Nutzer dem nicht widersprochen haben oder ihre Profile nicht
auf nicht öffentlich gestellt haben.
Nach der vorläufigen Prüfung des Gerichts liegt eben kein Verstoß gegen die
DSGVO vor oder auch den Digital Markets Act.
Diese Einschätzung teilen ja eben auch die zuständige irische Datenschutzbehörde,
wie wir schon berichtet haben, und der hamburgische Datenschutzbeauftragte.
Die Verarbeitung ist laut Gericht auch ohne ausdrückliche Einwilligung der Nutzer
rechtmäßig, da Meta eben ein berechtigtes Interesse an der Nutzung dieser Daten
für KI-Training hat und keine weniger einschneidenden Alternativen bestehen.
Als Begründung nennt hier das Gericht, dass nur öffentlich zugängliche Daten
verarbeitet werden, die auch eben von Suchmaschinen gefunden werden könnten
und dass eben eindeutige Identifikatoren wie Name, E-Mail-Adresse oder die Postanschrift
nicht verwendet werden dürfen.
Außerdem wurden die Nutzer über die geplante Datenverarbeitung informiert,
konnten widersprechen oder eben ihre Profile umstellen auf nicht öffentlich,
was das Gericht eben auch als milderes Mittel halt angesehen hat.
Wie bereits vorhin ja schon erwähnt, auch sieht es kein Verstoß gegen den DMA,
also den Digital Markets Act, da keine Zusammenführung von Daten aus verschiedenen
Diensten oder Quellen erfolgt.
Was ich persönlich noch ganz interessant war, war, dass das Gericht ausdrücklich
auf die ETSA-Stellungnahme aus Dezember letzten Jahres sich bezogen hat und
eben festgestellt hat in seiner Entscheidung,
dass Meta eben die darin geforderten Maßnahmen umgesetzt hat.
Und ich sage es mal als Außenstehender, dann kann man ja auch gut nachvollziehen,
warum eben diesem EIL-Verfahren nicht stattgegeben worden ist.
Wie kann es also jetzt weitergehen?
Also unsere Einschätzung dazu ist natürlich, es war jetzt ja eben ein Eilverfahren.
Das heißt, was jetzt halt eben offen ist, ob es noch ein Hauptsacheverfahren
hierfür gibt, wo es vielleicht sogar Vorlagefragen an den Europäischen Gerichtshof
geben könnte. Das wäre ja noch eine Möglichkeit.
Weiterhin hat ja auch die DPC, also die irische Datenschutzbehörde,
die ja für Meta zuständig ist, mehrfach schon betont, dass sie eben weiterhin
Meta überwachen werden und schauen, dass auch eben hier die weiteren Vorgaben
auch eingehalten werden.
Aber sonst, glaube ich, bleibt nur Glaskugel-Leserei, oder Heiko?
Ob es noch Gesetzesänderungen etc. dazu gibt, wahrscheinlich eher weniger.
Ja, wichtig ist jetzt erstmal die Entscheidung, dass sie das Training machen können.
Man kann Facebook-Meta gegenüber kritisch eingestellt sein, aber ich finde die
Informationsbereitstellung im Vorfeld hat funktioniert.
Es war ja nicht nur in den Medien, auch per E-Mail hat man die Infos bekommen.
Die Ausübung des Widerspruchs als solches war jetzt auch nicht unangemessen hoch, fand ich.
Von daher könnte ich mir schon vorstellen, dass halt die Verarbeitung als solches
jetzt dann auch nicht im Nachgang noch irgendwie gekippt wird.
Wir haben ja in den Richtlinien des EDPBs ja auch drinstehen,
dass eventuell Modelle, die halt mit personenbezogenen Daten unrechtmäßig trainiert
wurden, danach auch nicht mehr rechtmäßig eingesetzt werden können.
Das ist sicherlich ein latentes Risiko, was Facebook eingehen muss.
Weil ansonsten kommen sie natürlich nicht weiter.
Ja, richtig.
Ja, ein anderes Thema, aus dem wir ja auch Facebook nicht allzu selten hier
als Gegenstand hatten, war ja immer das Thema mit den Drittstaatentransfers.
War ja in Facebook nicht ganz unbeteiligt an den ganzen Schrems-Urteilen.
Ein US-Gericht hat jetzt die Entlassung zweier PCLOB-Mitglieder durch Präsident
Trump für rechtswidrig erklärt.
Am 21. Mai, also vorletzte Woche, entschied ein US-Gericht, dass zwei demokratische
Mitglieder des PCLOB, also des Privacy and Civil Liberties Oversight Boards,
unrechtmäßig von Präsident Trump entlassen wurden.
Das Gericht stellte fest, dass der Kongress die Macht des Präsidenten zur Abberufung
dieser Mitglieder einschränken wolle und dass diese Einschränkung auch verfassungsgemäß ist.
Daher gab das Gericht den Klägern Recht und begründete, dass die Unabhängigkeit
des PCLOB essentiell sei, um die Regierung bei Antiterrormaßnahmen kritisch
zu überwachen und auch die Wahrung von Datenschutz und Bürgerrechten sicherzustellen.
Daher würde eine willkürliche Abberufung durch den Präsidenten diese Unabhängigkeit
gefährden und natürlich die Kontrolle durch den Kongress sowie die Öffentlichkeit untergraben.
Das PCLOB ist halt ja als zentrales Aufsichtsgremium auch im Data Privacy Framework,
kurz DPF, verankert, dass die Einhaltung der Datenschutzstandards bei US-Behörden überwachen soll.
Daher hat die EU ja auch das Data Privacy Framework unter anderem ja damals abgeschlossen.
Und es gab ja schon kritische Stimmen hier auch hinsichtlich dieser Entlassung.
Das hatten wir ja auch hier thematisiert, als bekannt wurde,
dass Donald Trump alle Demokraten daraus entlassen hat.
Und vor allen Dingen das, was jetzt hier glaube ich auch nicht ganz unwesentlich
war, dass das Board jetzt nicht mehr arbeitsfähig war, weil es halt unterbesetzt war.
Und wahrscheinlich spielte das jetzt auch mit da rein, dass diese Kündigung
deswegen halt unrechtmäßig war.
Aus meiner Sicht stärkt es hoffentlich ein bisschen wieder das Vertrauen der
europäischen Datenschutzbehörden und auch der EU-Kommission in die Kontrollmechanismen
der USA, weil es halt, wie gesagt, so eine essentielle Grundlage ja auch im DPF ist.
Aber das werden wir sicherlich auch abwarten müssen, wie es da weitergeht.
Aber vielleicht trotzdem eine Kleinigkeit, die ein bisschen zur Entspannung beiträgt, oder?
Ich hoffe. Also ich denke, das wird sicherlich auch positiv gewürdigt werden,
wenn es selbst vor Gericht landet.
Das BSI warnt vor möglichen Risiken beim Bezug des Passwortmanagers KeePass.
Laut den Sicherheitsexperten befinden sich hinter echten Werbeanzeigen in den
Suchmaschinen Bing oder DuckDuckGo teils gefälschte Webseiten,
die mit einem Trojaner infizierte Software anbieten.
Wie auch bei Phishing-Angriffen im Finanzsektor bekannt, sind die gefälschten
Webseiten kaum von den richtigen Seiten zu erkennen.
Laut dem BSI verwendet die schadhafte Software sogar echte Zertifikate,
die nicht als Fälschung erkennbar sind und warnt vor der Installation.
Wer KeePass nicht kennt, es ist ein kostenloser Open-Source-Passwort-Manager,
der eben auf verschiedenen Betriebssystemen einschließlich Windows, Linux etc.
Verfügbar ist. Und er ermöglicht eben die sichere Speicherung und Verwaltung
von Passwörtern in einer verschlüsselten Datenbank.
Umso wichtiger ist es eben, sich auch beim Download mit der Sicherheit zu beschäftigen
und ja, wir können uns den Tipps des BSIs nur anschließen, denn nämlich möglichst
auf Werbebanner zu verzichten oder die Verlinkung hier raus,
nämlich meist am besten direkt beim Hersteller die entsprechende Software sich
holen oder in den seriösen App-Stores die Käufe tätigen oder die Downloads.
Dann auch hier, wie auch bei E-Mails, Webseiten immer kritisch betrachten,
Rechtschreibfehler, aber auch andere Logos, die vielleicht komisch verzerrt
aussehen können, hier Indikatoren sein,
damit man hier den Kriminellen nicht auf den Leim geht. Ist das richtig gesagt? Ich glaube schon, ne?
Richtig, ja, genau.
Grundsätzlich lässt sich natürlich sagen, Passwortmanager, auch aus unserer
Sicht, das sollte einen nicht daran hindern, diesen zu benutzen,
denn immer noch sicherer einen Manager zu benutzen als immer nur das gleiche Passwort.
Ja, gleiches Passwort geht ja gar nicht mehr. Also bitte, ja.
Voll oldschool, voll 90er.
Nicht nur 90er, das tun unsere Zuhörer noch nicht. Das glaube ich nicht.
Die sind da sehr bewusst, aber ich glaube, das ist das Entscheidende hier bei
der Meldung auch, sein soziales, berufliches Umfeld auch nochmal zu sensibilisieren.
Natürlich Passwortmanager nutzen, aber bitte aus sicheren Quellen,
weil ansonsten ist es natürlich blöd, wenn man den Bock zum Gärtner macht und
ihm quasi dann direkt die Passwörter frei Haus liefert.
Von daher, also KeePass kann ich auf jeden Fall auch empfehlen.
Ist ein, finde ich, sehr gutes Tool, lässt sich gut integrieren im Browser und
so weiter. Aber bitte aufpassen beim Download.
Gut, gehen wir weiter zu meinem nächsten Urteil.
Und zwar, das VG Bremen hat entschieden, dass die nachvertragliche Nutzung von
Kundendaten zu Werbezwecken unter bestimmten Voraussetzungen zulässig ist.
Das Verwaltungsgericht Bremen hat mit Urteil vom 23.04., also nicht tagesaktuell,
aber es ist uns jetzt zugänglich gemacht worden,
hat es entschieden, dass ein Energieversorger unter bestimmten Voraussetzungen
ehemalige Kunden im Rahmen von Haustürbesuchen tatsächlich auch versuchen darf,
diese zurückzugewinnen.
Interessant ist das Urteil also für alle, die ehemalige Kunden zurückgewinnen
möchten und die dazu erforderliche Verarbeitung auf ein berechtigtes Interesse
stützen möchten, also keine Einwilligung der Betroffenen vorliegen haben.
Nach Auffassung der Bremer Datenschutzaufsicht war hier im vorliegenden Fall
der Zeitraum von 24 Monaten nach Vertragsende, in denen die Daten noch zu Werbezwecken
verarbeitet wurden, zu lang.
Sie hielten maximal sechs Monate für angemessen und sagte dem Energieversorger
daher die entsprechende Verarbeitung. Dieser klagte gegen die Anordnung und hatte nun Erfolg.
Das Urteil finde ich persönlich dahingehend sehr lesenswert,
da es die Praxis des Energieversorgers, wie die Datenselektion erfolgt,
als auch die Interessenabwägung sehr gut beschreibt.
Außerdem wird auch ausführlich erläutert, warum die persönliche Ansprache an
der Haustüre datenschutzrechtlich als vergleichbar mit einer postalischen Werbung
betrachtet werden kann,
weil das ist ja nochmal nicht selbstverständlich, dass man das halt auch daraus ableiten kann.
Für Unternehmen finde ich auch vor allem die Feststellung hilfreich,
dass eine Kündigung nicht automatisch auch ein Werbewiderspruch ist.
Also dieser muss zusätzlich erfolgen.
Das Unternehmen muss nicht automatisch davon ausgehen, nur weil jemand die Dienstleistung
nicht mehr möchte, dass er deswegen halt auch keine Werbung mehr möchte.
Also Betroffene müssen dann entsprechend der Werbung separat widersprechen.
Ganz wichtig aber auch bei dieser Entscheidung natürlich, die Verarbeitung zu
Werbezwecken muss vorab im Rahmen der betroffenen Information als berechtigtes
Interesse mitgeteilt worden sein, was aber hier erfolgt war.
Und auch ganz interessant finde ich nochmal die Ausführungen im Urteil auch
zum primären und sekundären Zweck, so haben die das hier genannt,
der Verarbeitung und der Kompatibilität der Zwecke,
Vertragsdurchführung einerseits und Kundenrückgewinnung, Werbung andererseits.
Also wir verlinken das auf jeden Fall, den Volltext auch in den Shownotes und
wie gesagt, jeder, der sich mit Werbung und Kundenrückgewinnung beschäftigt,
kann ich dieses Urteil auf jeden Fall empfehlen, einmal durchzusehen.
Ja, ganz geschmeidig gehen wir damit auch in den Bereich der Veröffentlichung,
denn in dem Zusammenhang, wer also in das Thema genauer einsteigen möchte,
Thema Direktwerbung, Verhältnis Paragraf 7 UWG mit Artikel 6 DSGVO,
kann ich eine Veröffentlichung empfehlen und zwar aus der Mai-Ausgabe der Zeitschrift Datenschutzberater.
Hier war Autor Prof. Dr. Alexander Golland. An dieser Stelle ganz herzliche Grüße.
Ganz liebe Grüße. War ja auch bei uns im Jahresrückblick. Lass mich kurz überlegen,
2023 muss das gewesen sein.
Und deshalb natürlich sehr, sehr gerne hier die Empfehlung für seinen Artikel.
Er thematisiert oder beschäftigt sich hier im Zusammenhang mit der Entscheidung
des Bundesverwaltungsgerichts vom 29.01.2025 mit diesem Thema.
Unsere Einschätzung zu dem Urteil findet ihr in der Folge Nummer 5 aus diesem Jahr.
Also wenn ihr da auch nochmal reinhören möchtet, um es ein bisschen aufzufrischen,
das Thema, sehr, sehr gerne.
Mein Veröffentlichungshinweis kommt vom Bundesamt für Sicherheit in der Informationstechnik, kurz BSI.
Die haben eine Cyber-Sicherheitsempfehlung namens Upgrade für die E-Mail-Sicherheit veröffentlicht.
Diese richtet sich an alle Unternehmen, die E-Mails mit eigener Domain senden und empfangen.
Und hier wird anhand von konkreten Beispielen gezeigt, wie Fehler bei Protokollen
wie zum Beispiel SPF, DKIM oder auch DMARC vermieden werden können und wie die
Cybersicherheit der E-Mail-Kommunikation an sich verbessert werden kann.
Also insbesondere glaube ich für IT-Administratoren sehr empfehlenswert und
da vielleicht nicht alle IT-Administratoren unseren Podcast hören,
Auch hier der Hinweis an die Datenschützer, ladet das Dokument runter,
gebt es mal an die IT weiter.
Ich glaube, wie gesagt, jeder, der E-Mails unter eigener Domain verschickt und
empfängt, sollte da mal, wenn es nur als Checkliste genutzt wird,
mal einen Blick reinwerfen.
So ist es. Und zu guter Letzt ein Veranstaltungsinweis und zwar die Vereinigung
der europäischen Datenschutzbeauftragten lädt am 5.
Juni dazu ein, sich mit der Zukunft des Data Privacy Frameworks zu beschäftigen.
Wir hatten es ja gerade auch schon. Und hierzu kommen Vertreter aus Rechtsberatung, Wissenschaft,
Aufsichtsbehörden und Praxis zusammen und stellen eben ein Panel zusammen und
unterhalten sich eben genau um das Thema der Weiterentwicklung,
der transatlantischen Datenströme,
der Sicherheiten hier raus, aber wohl auch ein Teil soll sein,
die möglichen Reformen der Datenschutz-Grundverordnung.
Wir packen den Link zur Anmeldeseite hier gerne in die Shownotes,
nochmal als Wiederholung, 5.6. ab 15.30 Uhr.
Damit sind wir durch für heute. Wir wünschen euch, falls ihr am langen Wochenende
seid, aber auch sonst ein schönes langes Wochenende.
Bleibt uns gewogen und auf bald.
Bis bald.