Die Einführung der KI-Funktion von Meta im Europäischen Wirtschaftsraum (EWR) wirft zahlreiche rechtliche Fragen auf. Die öffentlichen Äußerungen von Meta und angeblich erfolgte Anpassungen der Funktionen ihrer Anwendungen an die europäische Gesetzgebung, erscheinen fragwürdig und wenig transparent. Dieser Beitrag wirft kritische Fragen zur Einführung des KI Chatbots auf und ordnet die Argumentation von Meta rechtlich ein.
Die Einführung der KI-Funktionen von Meta im Europäischen Wirtschaftsraum erfolgt unter fragwürdigen rechtlichen und datenschutzrechtlichen Voraussetzungen.
Die Einführung von Metas KI-Modellen im Europäischen Wirtschaftsraum (EWR) sorgt derzeit für große Verunsicherung. Nachdem Mark Zuckerberg sie noch im vergangenen Jahr aufgrund strenger europäischer Datenschutzvorschriften ausgeschlossen hatte, sind die KI-Funktionen jetzt doch plötzlich verfügbar.
Erst kürzlich erlaubte auch das Oberlandesgericht Köln Meta vorläufig, öffentliche Daten deutscher Nutzer von Facebook und Instagram ohne explizite Einwilligung für KI-Trainingszwecke zu nutzen – die Verbraucherzentrale Nordrhein-Westfalen hatte Meta abgemahnt. Kritiker werfen Meta mangelnde Transparenz vor und bezweifeln, dass die vorgenommenen Anpassungen ausreichen, um tatsächlich DSGVO-konform zu agieren. Gleichzeitig warnen Datenschutzbehörden und Verbraucherschützer vor den erheblichen Risiken, insbesondere da sensible Daten, wie Gesundheitsinformationen oder politische Ansichten, in öffentlichen Posts enthalten sein könnten. Wie tragfähig ist Metas Vorgehen unter europäischem Recht wirklich?
Noch im letzten Jahr hieß es von Mark Zuckerberg, dass die Meta KI aufgrund der im EWR bestehenden Datenschutzvorschriften nicht eingeführt werden könne. Nun sind die KI-Funktion doch verfügbar. An den datenschutzrechtlichen Rahmenbedingungen im EWR hat sich zwischenzeitlich jedoch nichts verändert. Die Datenschutz-Grundverordnung (DS-GVO) sowie die Vorschriften des AI-Acts setzen unverändert strenge Maßstäbe für den Einsatz künstlicher Intelligenz und den Umgang mit personenbezogenen Daten. Meta hat bisher nicht hinreichend transparent gemacht, warum ihre KI-Anwendungen nun im Einklang mit den europäischen Vorschriften stehen sollten. Dies wirft die Frage auf, ob die Einführung tatsächlich mit den geltenden Gesetzen konform ist oder lediglich auf einer geänderten unternehmerischen Strategie basiert, ohne dass sich die rechtlichen Rahmenbedingungen geändert hätten.
2. Unklarheit über funktionale Änderungen
Meta behauptet, die Funktionsweise seiner KI-Anwendungen angepasst zu haben. Allerdings bleibt überwiegend unklar, welche konkreten Änderungen vorgenommen wurden. Das Fehlen von technischen und rechtlichen Detailangaben erschwert eine fundierte Einschätzung der Rechtmäßigkeit der Nutzung der KI-Funktionen.
Problematisch ist, dass bisher keine detaillierten Erkenntnisse darüber vorliegen, wie die Verarbeitung und Speicherung von Daten in Europa konkret erfolgen soll. Die bisherige Praxis von Meta, personenbezogene Daten in globalen Rechenzentren zu speichern und zu verarbeiten, steht nach wie vor in Konflikt mit den europäischen Datenschutzvorschriften. Ohne eine klare Dokumentation und Nachvollziehbarkeit der technischen Anpassungen bleibt die Nutzung der KI-Funktionen risikobehaftet.
3. Reicht der Ausschluss des Trainings mit EU-Daten?
Meta argumentiert, dass die KI-Modelle nicht mit EU-Nutzerdaten trainiert werden. Dabei stellt sich die Frage, ob dieser Ausschluss allein ausreicht, um die rechtlichen Anforderungen der DSGVO zu erfüllen. Die Datenschutzgrundverordnung regelt nicht nur die Datenverarbeitung in der Trainingsphase, sondern auch die Nutzung und Speicherung von Daten während des KI-Betriebs.
Eine offene Rechtsfrage bleibt hierbei, wie mit Trainingsdaten umzugehen ist, die in den Ausgaben der KI enthalten bleiben. Auch wenn Meta versichert, keine EU-Daten direkt für das Training genutzt zu haben, ist unklar, ob und in welchem Umfang Fragmente oder Muster dieser Daten dennoch in den generierten Antworten der KI auftauchen können bzw. wie dies technisch ausgeschlossen werden kann.
Aus KI-rechtlicher Perspektive bleibt zudem offen, ob Metas KI dennoch Mustererkennungen durchführen kann, die auf Basis globaler Datenbestände erfolgen. Auch wenn keine expliziten EU-Daten in den Trainingsprozess eingeflossen sind, könnten die Modelle dennoch Erkenntnisse aus anderen Datenquellen nutzen, die indirekt auf EU-Bürger anwendbar sind.
Datenschutzrechtlich ist zudem zu berücksichtigen, dass allein die Interaktion von EU-Nutzern mit der KI zu einer Verarbeitung personenbezogener Daten führen kann. Insbesondere die Nutzung eines KI-Chatbots in Messenger-Diensten oder sozialen Netzwerken bedeutet, dass Kommunikationsinhalte verarbeitet werden. Ohne klare Informationen darüber, wie diese Daten genutzt, gespeichert und vor Dritten geschützt werden, bleibt der datenschutzrechtliche Status der KI-Funktionen jedenfalls fragwürdig.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zudem können auch personenbezogene Daten von Bürgern aus Drittstaaten in den Anwendungsbereich europäischer Rechtsnormen wie der DSGVO oder des AI-Acts fallen, sobald sie in den Europäischen Wirtschaftsraum übertragen werden. Dies ist dann relevant, wenn in den Ausgaben der KI noch Bestandteile der Trainingsdaten enthalten sind. Dadurch könnte die KI von Meta selbst dann in den Anwendungsbereich europäischer Datenschutzgesetze fallen, wenn ursprünglich keine EU-Daten für das Training verwendet wurden.
4. Gefährdung geschützter Informationen in Meta-Apps
Für Unternehmen und Organisationen bleibt der Einsatz von Meta-Apps, insbesondere im beruflichen Kontext, problematisch. Bereits in der Vergangenheit gab es Bedenken, dass Facebook, Instagram oder WhatsApp Daten sammeln und für nicht klar definierte Zwecke verwenden. Mit der Implementierung der KI-Funktion verschärft sich diese Problematik.
Auch wenn sich die KI nicht direkt auf Betriebsgeheimnisse oder geschäftskritische Informationen zu konzentrieren scheint, ist nicht auszuschließen, dass in Unternehmen genutzte Meta-Anwendungen indirekt sensible Informationen erfassen. Das betrifft sowohl personenbezogene Daten als auch Betriebsgeheimnisse, die in Nachrichten, Sprachaufzeichnungen oder Beiträgen enthalten sind.
Aus diesem Grund sollten Unternehmen und Organisationen sorgfältig prüfen, ob die Nutzung von Metas KI Funktionen mit ihren Compliance-Vorgaben und Datenschutzrichtlinien vereinbar ist. Insbesondere für Berufsgruppen mit erhöhten Vertraulichkeitsanforderungen stellt die Nutzung von Meta-Apps mit KI Funktionen eine erhebliche Datenschutzgefahr dar.
Fazit
Die Einführung der KI-Funktionen von Meta im Europäischen Wirtschaftsraum erfolgt unter fragwürdigen rechtlichen und datenschutzrechtlichen Voraussetzungen. Fest steht, dass sich nichts an der gesetzlichen Lage zum Einsatz von KI im EWR geändert hat. Welche konkreten Änderungen an der KI vorgenommen wurden, um diesen Regularien nun zu entsprechen, konnte Meta bislang kaum plausibel darlegen.
Der reine Ausschluss von EU-Daten im Trainingsprozess der KI genügt nicht, um die Einhaltung der DS-GVO sicherzustellen. Zudem bleibt unklar, wie mit Daten umzugehen ist, die in den generierten Ergebnissen der KI noch enthalten sind. Unternehmen und Privatpersonen sollten daher weiterhin vorsichtig sein, wenn es um den Schutz personenbezogener Daten und sensibler Informationen geht. Die Implementierung von Metas KI in bestehende Apps verschärft bestehende Datenschutzrisiken und stellt eine ernsthafte Herausforderung für Unternehmen dar, die sich an europäische Datenschutzrichtlinien halten müssen. Nutzer die die Widerspruchsfrist verpasst haben, sollten dennoch für zukünftige Posts widersprechen!
Johannes Marco Holz, LL.M., Rechtsanwalt, Fachanwalt für Informationstechnologierecht und zertifizierter betrieblicher Datenschutzbeauftragter (GDDcert. EU), ist bei Rödl & Partner im Bereich IT- und Datenschutzrecht in Nürnberg tätig. Er leitet die Praxisgruppe Technologie & Daten in der Rechtsberatung bei Rödl & Partner in Deutschland. Nach mehrjähriger Erfahrung als Unternehmensjurist im In- und Ausland berät er mittelständische und große Unternehmen, sowie die öffentliche Hand in IT- und datenschutzrechtlichen Fragen außergerichtlich und gerichtlich.
Rechtsanwalt Frederik Kopp ist Senior Associate bei Rödl & Partner in Bielefeld. Er berät mittelständische und internationale Unternehmen, insbesondere in den Gebieten Datenschutzrecht und Compliance. Zudem berät er bei Neugründungen und begleitet Startups während des Unternehmensaufbaus aus rechtlicher Perspektive.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e1/f4/e1f4e5b42f8276bd1d7d10696744f6dd/0124599458v2.jpeg "Die Verbraucherzentrale NRW hat Meta abgemahnt: das KI-Training mithilfe von Nutzerdaten verstößt gegen EU-Recht. Die Opt-out-Option, die Meta Nutzern bietet, um dem Training zu widersprechen reicht nicht aus. (©fovito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/79/c879123e5d7b3a1da102e34cadadd6d1/0124932306v2.jpeg "Meta startet nun auch in Deutschland mit dem KI-Training durch Nutzerdaten, (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/df/34dfa5433b5485194b628f19eae33ea4/0124946324v2.jpeg "Seit dem 27. Mai 2025 darf Meta Informationen aus Nutzer-Beiträgen zum Training seiner KI „Meta AI“ verwenden, sofern diese nicht widersprochen haben. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/21/3a21c848e6e81af5f55488380ecd91e4/0124895477v2.jpeg "Zu den jüngst im Darknet aufgetauchten Facebook-Daten gehören Namen, E-Mail-Adressen und Standorte der Nutzer. Meta behauptet jedoch, dass die Informationen aus einem Sicherheitsvorfall stammen würden, der bereits Jahre zurückliege. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/90/de/90de3e8b0931e4591b55b37082cc7e5f/0125933600v2.jpeg "Der EDSB hat erklärt, dass „die Nutzung von Microsoft 365 in Einklang mit Datenschutzvorschriften für EU-Organe und -Einrichtungen gebracht wurde“. Welche Folgen hat das jetzt für deutsche Unternehmen? (Bild: © noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/a3/17a355ed93550a6a104a7f4234bd37e3/0125373914v1.jpeg "DeepSeek steht in vielen Ländern auf der Prüfliste, nun hat auch die Berliner Datenschutzbeauftragte Bedenken angemeldet. (Bild: jirsak - stock.adobe.com)")