Digitale Souveränität in Gefahr? Warum Facebooks Pläne zum Scan unveröffentlichter Bilder datenschutzrechtlich hochbrisant sind

Offiziell dient das Vorhaben der Bekämpfung von Kindesmissbrauch, indem entsprechende Inhalte frühzeitig erkannt werden sollen. Doch datenschutzrechtlich handelt es sich um einen massiven Eingriff in die informationelle Selbstbestimmung. Diese Entwicklung stellt nicht nur Privatpersonen, sondern auch Unternehmen, IT-Entscheider:innen und Datenschutzverantwortliche vor neue Herausforderungen.

Nach aktuellen Informationen entwickelt Meta eine Technologie, die Fotos auf mobilen Endgeräten lokal scannt, noch bevor sie veröffentlicht oder mit Dritten geteilt werden. Der technische Ansatz erinnert an die sogenannte Client-Side-Scanning-Technologie. Dabei werden Inhalte direkt auf dem Gerät analysiert, nicht erst nach dem Upload auf einen Server. Meta verfolgt dieses Ziel angeblich, um Missbrauchsdarstellungen frühzeitig zu erkennen. Technisch mag das innovativ sein, doch rechtlich und ethisch ist der Ansatz hoch problematisch.

DSGVO – Schutz personenbezogener Daten

Die Datenschutz-Grundverordnung (DSGVO) der EU sowie das revidierte Datenschutzgesetz (revDSG) der Schweiz schützen personenbezogene Daten umfassend. Die geplante Vorgehensweise von Meta könnte gegen mehrere grundlegende Prinzipien verstoßen.

Nach Artikel 5 Absatz 1a der DSGVO müssen personenbezogene Daten rechtmäßig, transparent und für betroffene Personen nachvollziehbar verarbeitet werden. Schon der Gedanke, dass eine App ungefragt und ohne aktive Nutzerinteraktion private Bilder scannt, widerspricht diesem Transparenzgebot.

Ein weiterer kritischer Punkt ist die Zweckbindung gemäß Artikel 5 Absatz 1b DSGVO: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Wenn Nutzer:innen ein Foto auf ihrem Gerät speichern, geschieht das nicht mit dem Zweck, dieses Bild zur Prüfung durch einen Anbieter bereitzustellen. Auch eine informierte Einwilligung im Sinne von Artikel 7 DSGVO liegt in solchen Fällen in der Regel nicht vor.

Hinzu kommt Artikel 25 DSGVO, der von Unternehmen fordert, Datenschutz durch Technikgestaltung (Privacy by Design) umzusetzen. Dazu gehört unter anderem, nur solche Daten zu erheben, die für den jeweiligen Zweck erforderlich sind. Das systematische Durchsuchen sämtlicher Bilddaten auf einem Endgerät steht diesem Prinzip entgegen.

revDSG – Schweizer Datenschutzrecht

In der Schweiz gelten ähnliche Grundsätze. Das revidierte Datenschutzgesetz (revDSG), das im September 2023 in Kraft getreten ist, betont ebenfalls Transparenz, Zweckbindung und Verhältnismäßigkeit. Auch hier ist der Zugriff auf private Inhalte ohne klare Einwilligung und gesetzliche Grundlage unzulässig.

Was dieses Vorhaben so brisant macht, ist die Verschiebung der Kontrolle über persönliche Daten. Wenn Anbieter wie Meta bestimmen, welche Inhalte analysiert werden dürfen, ohne dass Nutzer:innen dies aktiv veranlassen oder zustimmen, gerät die individuelle Kontrolle über die eigenen Daten ins Wanken. Das Grundrecht auf informationelle Selbstbestimmung ist in der EU ein hohes Gut. Es besagt, dass jede Person grundsätzlich selbst entscheiden darf, wann und innerhalb welcher Grenzen persönliche Daten offenbart werden.
Die Vorstellung, dass Dritte Zugriff auf private Inhalte erhalten, ohne dass diese jemals geteilt wurden, stellt dieses Prinzip grundsätzlich infrage. Auch wenn der Zweck – etwa die Bekämpfung von Kindesmissbrauch, legitim erscheint, darf dies nicht zu einer Aushöhlung rechtsstaatlicher Prinzipien führen. Andernfalls drohen technologische Entwicklungen Grundrechte zu unterwandern, statt sie zu schützen.

Zunächst mag es scheinen, als beträfe diese Entwicklung nur Privatpersonen. Doch der Zugriff auf Endgeräte und private Daten hat auch für Unternehmen weitreichende Konsequenzen. In vielen Organisationen ist Bring Your Own Device (BYOD) gelebte Realität. Mitarbeitende nutzen private Smartphones und Tablets für dienstliche Zwecke. Wenn auf diesen Geräten Anwendungen installiert sind, die eigenständig und unbeaufsichtigt auf private Daten zugreifen, entstehen neue Risiken.
Unternehmen tragen gemäß DSGVO eine Mitverantwortung für die Datenverarbeitung auf solchen Geräten, insbesondere wenn Unternehmensdaten gespeichert oder verarbeitet werden. Die Risiken reichen von Datenschutzverstößen über Datenlecks bis hin zu Reputationsschäden. Compliance-Verantwortliche sollten sich bewusst machen, dass die Grenzen zwischen privat und dienstlich genutzten Daten auf mobilen Geräten zunehmend verschwimmen.

Ein oft unterschätztes Risiko sind die Zugriffsrechte, die Apps bei der Installation erhalten. Viele Anwendungen fordern vollen Zugriff auf die Kamera, das Mikrofon oder den gesamten Speicherbereich eines Geräts. In der Praxis bedeutet das: Eine App könnte theoretisch auf alle gespeicherten Fotos zugreifen – auch auf jene, die niemals mit Dritten geteilt wurden. Selbst wenn der Zugriff technisch lokal erfolgt, stellt er einen Eingriff in die Privatsphäre dar.
Für Unternehmen empfiehlt es sich daher, Richtlinien zur App-Nutzung auf dienstlich genutzten Geräten zu formulieren. Eine sogenannte Whitelist zugelassener Anwendungen sowie regelmäßige Audits der installierten Software können helfen, Risiken zu minimieren.

Die DSGVO verpflichtet Unternehmen in Artikel 32 zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Im Kontext der mobilen Nutzung heißt das konkret:

• Einsatz von Mobile-Device-Management (MDM)-Systemen zur Steuerung von App-Rechten und Zugriffsberechtigungen
• Verschlüsselung sensibler Daten auf dem Gerät
• Trennung von privaten und dienstlichen Datenbereichen
• Schulungen für Mitarbeitende zur sicheren Nutzung mobiler Geräte

Diese Maßnahmen sollten nicht nur als Pflichtübung verstanden werden, sondern als strategische Investition in die Datensicherheit und das Vertrauen der Mitarbeitenden und Kund:innen.
 

Ein weiteres zentrales Element der DSGVO ist die Einwilligung. Diese muss freiwillig, informiert, spezifisch und eindeutig sein. Wenn Nutzer:innen durch undurchsichtige AGB oder komplexe App-Einstellungen faktisch keine andere Wahl haben, als einer Datenverarbeitung zuzustimmen, fehlt es an echter Freiwilligkeit. Unternehmen, die auf Drittanbieter-Software zurückgreifen, müssen daher prüfen, ob die Einwilligungsmechanismen dieser Tools den gesetzlichen Anforderungen genügen.

Es ist davon auszugehen, dass der Vorstoß von Meta politische und regulatorische Reaktionen hervorrufen wird. Bereits in der Vergangenheit wurden vergleichbare Pläne – etwa von Apple – nach massiver öffentlicher Kritik wieder zurückgezogen. Doch die technische Entwicklung schreitet voran, und mit ihr die Möglichkeiten für automatisierte Analysen direkt auf dem Endgerät.
Unternehmen sollten diese Entwicklungen aufmerksam beobachten und frühzeitig bewerten, wie neue Technologien sich auf ihre Datenschutzstrategie auswirken. Wer jetzt handelt, kann Risiken vermeiden und sich gleichzeitig als vertrauenswürdiger und datenschutzkonformer Akteur positionieren.

Metas Pläne markieren eine neue Stufe der technologischen Kontrolle über persönliche Daten. Für Unternehmen ist dies ein Weckruf, ihre Datenschutzstrategien zu überdenken. Wer heute klare Regeln schafft, technische Schutzmaßnahmen implementiert und Mitarbeitende sensibilisiert, ist morgen besser vorbereitet – rechtlich, ethisch und strategisch. Datenschutz ist nicht nur Pflicht, sondern ein Wettbewerbsvorteil. Unternehmen, die digitale Souveränität ernst nehmen, werden künftig das Vertrauen ihrer Kund:innen und Partner:innen sichern.

Dürfen Apps auf unveröffentlichte Bilder zugreifen?
Technisch ja, wenn die App entsprechende Berechtigungen erhält. Rechtlich ist das jedoch nur zulässig, wenn eine informierte und freiwillige Einwilligung vorliegt. Ohne diese ist der Zugriff auf private Inhalte in der Regel unzulässig.

Wie können Unternehmen sich schützen?
Durch klare Richtlinien zur App-Nutzung, den Einsatz von MDM-Systemen und regelmäßige Schulungen der Mitarbeitenden. Wichtig ist auch die Sensibilisierung für datenschutzkonformes Verhalten im Umgang mit mobilen Geräten.

Welche Rolle spielt die Einwilligung bei solchen Technologien?
Eine zentrale. Ohne gültige Einwilligung fehlt es an der Rechtsgrundlage für die Datenverarbeitung. Unternehmen sollten genau prüfen, wie Drittanbieter-Apps Einwilligungen einholen und ob diese den gesetzlichen Vorgaben entsprechen.

Wie unterscheiden sich DSGVO und revDSG in diesem Fall?
Beide Gesetze verfolgen ähnliche Prinzipien wie Transparenz, Verhältnismäßigkeit und Zweckbindung. Die DSGVO ist in vielen Punkten konkreter, das revDSG bietet etwas mehr Interpretationsspielraum. In der Praxis führen beide jedoch zum gleichen Ergebnis: Eine heimliche oder unfreiwillige Datenanalyse ist unzulässig.