Meta kan gebruikersgegevens gebruiken om AI te trainen: wat de Duitse uitspraak zegt

De redenen voor de uitspraak van het Hooggerechtshof van Keulen , dat op 23 mei 2025 het recht van Meta erkende om openbare content die door zijn klanten beschikbaar is gesteld, te gebruiken om AI-modellen te trainen, zijn eindelijk openbaar. Daarmee wordt het argument van Big Tech aanvaard dat "er geen redelijk alternatief is dat Meta kan nastreven om zijn belangen even effectief te bereiken met andere, minder ingrijpende middelen."

De oorsprong van de controverse

De uitspraak volgt op een rechtszaak die was aangespannen door een Duitse consumentenbond. Deze vereniging klaagde over de schending van het recht op bescherming van de persoonsgegevens van klanten door de keuze van Meta.

De vereniging verweet Meta met name dat zij niet had kunnen aantonen dat het gebruik van de gegevens van haar klanten om een ​​AI te trainen noodzakelijk en passend was in het kader van de Algemene Verordening Gegevensbescherming (AVG) en dat de activiteit verboden was omdat deze ook bestond uit de verwerking van ‘bijzondere’ persoonsgegevens, bijvoorbeeld gezondheidsgegevens, zonder dat zij zich kon beroepen op de uitzonderingen die de AVG biedt.

Meta verdedigde zich door te stellen dat het een ‘gerechtvaardigd belang’ had bij het gebruik van openbare content die op zijn platforms circuleerde en die verenigbaar was met de AVG, en dat het een reeks maatregelen had genomen die de risico’s voor de rechten van individuen tot een aanvaardbaar niveau terugbrachten.

In het arrest staat met name dat Meta heeft verklaard dat het het gebruik van de gegevens heeft beperkt tot de gegevens die door klanten openbaar zijn gemaakt, dat het de mogelijkheid heeft voorzien om de status van de inhoud te wijzigen van openbaar naar privé en deze zo van gebruik uit te sluiten, dat het klanten heeft geïnformeerd en hen een effectieve mogelijkheid heeft geboden om zich te verzetten tegen de verwerking, dat het de informatie met betrekking tot individuele personen heeft geanonimiseerd, dat het de informatie heeft "getokeniseerd" (dat wil zeggen, dat het is gereduceerd tot wiskundige waarden die nodig zijn om het model de berekeningen te laten uitvoeren) en dat het de informatie dus heeft losgekoppeld van de persoonlijke identiteit van de personen, en dat het gedurende de gehele ontwikkelingscyclus van het model veiligheidsmaatregelen heeft genomen.

Door in het voordeel van Meta te oordelen, heeft het Duitse hof een reeks beginselen zwart op wit gezet die de gangbare interpretatie – zelfs in Italië – van de wetgeving inzake de bescherming van persoonsgegevens sterk terugschroeven. Het hof bevestigt hiermee een reeks beginselen die ook buiten kwesties met betrekking tot AI geldig zijn.

De AVG beschermt ook economische belangen en niet alleen de rechten van het individu

“Naast juridische en ideologische belangen worden ook economische belangen als legitieme belangen beschouwd”, schrijft het Hof, verwijzend naar een uitspraak van het Hof van Justitie van de Europese Unie , dat de relevantie erkende van het commerciële belang van een sportfederatie bij het communiceren van de gegevens van haar atleten.

Verder vervolgt de uitspraak: "Het anonimiseren van dergelijke datasets is niet haalbaar, aangezien het vaak moeilijk is om met redelijke inspanning de toestemming van de betrokkenen te verkrijgen. Deze interpretatie weerspiegelt ook de "dualiteit" van de beschermingsdoeleinden van de AVG, die niet alleen dient om persoonsgegevens te beschermen, maar ook om het vrije verkeer van dergelijke gegevens en daarmee hun bruikbaarheid te waarborgen."

Dus, zelfs al is het in werkelijkheid de verordening inzake de bescherming van persoonsgegevens die het bepaalt en zou het niet nodig zijn geweest om het te vermelden, de uitspraak specificeert dat de belangen van bedrijven dezelfde waardigheid hebben als de rechten van individuen. Met andere woorden: er is geen principiële overheersing die het gebruik van persoonsgegevens in het kader van een economische activiteit verbiedt. Het belangrijkste, benadrukt het Hof, is dat dit gebruik daadwerkelijk noodzakelijk en onontbeerlijk is om een ​​rechtmatig resultaat te bereiken, zelfs als de wet daarin niet uitdrukkelijk voorziet .

Om de reikwijdte van dit principe te begrijpen, hoeft u alleen maar te denken aan de kwesties rond de opslag van internetverkeersgegevens en e-mailmetadata, die verband houden met het gebruik van analytics of die voortvloeien uit het "pay or okay"-model – of beter gezegd "pay in money or pay in data" . Gezien deze uitspraak is het niet zo dat deze activiteiten als zodanig onrechtmatig zijn, maar moet de relatie tussen de concreet aan de klant opgelegde "offer" en de doelstellingen van de leverancier per geval worden onderzocht. Indien de risico's voor de fundamentele rechten en vrijheden van de betrokkene in de praktijk voldoende beperkt zijn, kan een bedrijf niet worden belet de betreffende persoonsgegevens te verwerken.

De risico’s die in aanmerking moeten worden genomen, zijn alleen die welke rechtstreeks verband houden met de werking van het model.

Een ander fundamenteel beginsel voor de ontwikkeling van AI in de Europese Unie is dat bij het beoordelen van de gevolgen van de verwerking van persoonsgegevens alleen de gevolgen die verband houden met de training van de AI zelf in aanmerking mogen worden genomen.

De rechters schrijven hierover: "Andere mogelijke wetsovertredingen die zouden kunnen voortvloeien uit de verdere werking van de AI (zoals desinformatie, manipulatie, andere schadelijke praktijken) zijn momenteel onvoldoende voorzienbaar en kunnen afzonderlijk worden vervolgd. In ieder geval is de kans klein dat dergelijke risico's zich in die mate zullen voordoen dat het legitieme gebruik van de AI onmogelijk wordt en uiteindelijk de geschiktheid van de gegevensverwerking in twijfel wordt getrokken."

Met grote helderheid bevestigen de rechters het principe dat bij de beoordeling of persoonsgegevens al dan niet kunnen worden gebruikt om een ​​AI te trainen, alleen de directe gevolgen van het gebruik van de betreffende gegevens in aanmerking moeten worden genomen en niet het feit dat iemand het model in de toekomst zou kunnen gebruiken om onrechtmatige handelingen te plegen. In dit geval, zo merkt de rechtbank op, zijn andere bestaande regels van toepassing, omdat daaruit kan worden afgeleid dat het AI-model het instrument is waarmee de wet wordt overtreden en niet de dader van de overtreding.

Volledige anonimisering is niet nodig

Een ander twistpunt tussen partijen betrof de anonimisering door het verwijderen van de gegevens met betrekking tot personen, maar ook de permanentie van de foto's.

Meta achtte het voldoende om gegevens zoals volledige namen, e-mailadressen, telefoonnummers, burgerservicenummers, gebruikersidentificatiegegevens, creditcard-/betaalpasnummers, bankrekeningnummers/bankcodes, kentekenplaten, IP-adressen en postadressen te verwijderen en deze om te zetten in een ongestructureerde en "getokeniseerde" vorm. Hierover stelt de rechtbank: "Hoewel dit niet uitsluit dat identificatie, ondanks anonimisering, in individuele gevallen nog steeds kan plaatsvinden, is de rechtbank van oordeel dat deze maatregelen het algehele risico zullen verminderen."

Het trainen van een AI is geen behandeling die op een specifiek individu is gericht

Ook hier is het passend om het vonnis letterlijk te citeren: “de ontwikkeling van Grote Taalmodellen op basis van zeer grote datasets betreft in de regel niet de gerichte verwerking van persoonsgegevens of de identificatie van een specifieke persoon” en wederom “wordt aan de voorwaarden die niet-gerichte verwerking mogelijk maken, voldoende voldaan door het doel van de AI-training, namelijk het creëren van algemene modellen voor het berekenen van waarschijnlijkheden en niet het profileren van individuele personen”, alsook door de talrijke beschermingsmaatregelen die door de gedaagden zijn genomen.”

Dit is een centrale passage in de uitspraak, omdat het een ander aspect herhaalt dat praktisch nooit in aanmerking is genomen bij de (Italiaanse) toepassing van de AVG: de verordening is van toepassing op verwerkingen die een specifieke persoon identificeren of identificeerbaar maken, en niet categorieën of groepen. Aangezien de tokenisatie van de inhoud van de berichten die op de sociale netwerken van Meta werden verspreid, plaatsvond door middel van voldoende anonimisering van de betrokken personen, zijn de verwerkingen van de aldus verkregen gegevens dan ook niet in strijd met de wet.

Ook hier reiken de praktische gevolgen van het rechtsbeginsel verder dan de reikwijdte van AI, omdat ze bijvoorbeeld de stelling ontkrachten dat alle profileringsactiviteiten die bijvoorbeeld worden uitgevoerd met behulp van trackers, IP-nummers of andere hulpmiddelen waarmee apparaten of software worden geïdentificeerd, en niet wie ze gebruikt, systematisch in strijd zijn met de wet.

Een bericht aan de Europese Commissie en nationale gegevensbeschermingsautoriteiten

Dit proces, dat zich meerdere malen heeft herhaald, krijgt een algemenere betekenis die de metavraag overstijgt, omdat het betrekking heeft op de relatie tussen de ideologische vooronderstellingen van standaardisatie en de industriële gevolgen van de technologische ontwikkeling.

Het is overduidelijk dat de AVG in de loop van bijna tien jaar eenzijdig is geïnterpreteerd ten nadele van de legitieme belangen van degenen die innoveren, in naam van een fetisjisering van ‘privacy’ (een term die ook ontbreekt in de Europese verordening).

De nationale beschermingsautoriteiten hebben dan ook soft law- bepalingen en -maatregelen aangenomen die geen rekening houden met wat de verordening al sinds de afkondiging ervan voorzag: zolang men zich binnen de reikwijdte van de wet begeeft, gelden er geen absolute verboden op de verwerking van persoonsgegevens, maar vindt er een belangenafweging plaats, en die belangenafweging moet van geval tot geval worden getoetst.

De AVG is zeker niet perfect en zou vanaf de basis grondig moeten worden herzien, maar deze uitspraak laat zien dat de AVG op een redelijke manier kan worden geïnterpreteerd, waarbij ook rekening wordt gehouden met de regels ter bescherming van onderzoek en bedrijfsleven.

Om duidelijk te zijn, het gaat hier niet om het eisen van een ‘vrije hand’ voor Big Tech of, in het algemeen, voor bedrijven en daarmee het opofferen van de mens ten koste van de winst. Het omgekeerde is echter ook niet mogelijk, in naam van een onduidelijkheid die nooit is opgehelderd over de rol die informatietechnologieën kunnen en moeten spelen bij de transformatie van onze maatschappij.

Dit is het punt waar de Europese Commissie rekening mee moet houden bij het vaststellen van de operationele handelingen van de AI-verordening en bij het identificeren van de wijzigingen in de AVG die nu definitief worden besproken.