Meta stoppt Mitarbeiterüberwachung nach schwerem Datenleck

Der Datenleck wurde entdeckt, bevor externe Dritte darauf zugreifen konnten. Meta erklärte, es gebe keine Hinweise auf unbefugten Zugriff . Die hohe Schweregradeinstufung (SEV 2) führte jedoch zur sofortigen Aussetzung des Programms .

Das Programm im Detail: Was MCI wirklich sammelte

• Startdatum: April 2026, als Teil der breiteren Agent Transformation Accelerator (ATA) Initiative
• Erfasste Daten: Mausbewegungen, Klickpositionen, Tastenanschläge und regelmäßige Screenshots von festgelegten Arbeitsanwendungen und -websites
• Betroffene: US-amerikanische Angestellte; die Teilnahme war de facto verpflichtend
• Zweck: Training von Meta-KI-Agenten für alltägliche Büroabläufe – Ziel war es, KI zu zeigen, wie Wissensarbeit tatsächlich funktioniert, um die Automatisierung zu verbessern
• Geplante Ausweitung: Interne Dokumente zeigen, dass Meta später auch Mitarbeiter außerhalb der USA erfassen wollte, was Bedenken hinsichtlich der EU-Datenschutzgrundverordnung (DSGVO) auslöste

Der interne Widerstand

Der Widerstand gegen MCI begann unmittelbar nach dem Start im April:

• Petition: Über 1.500 Mitarbeiter unterschrieben eine Petition gegen die verpflichtende Überwachung
• CTO-Klartext: CTO Andrew Bosworth teilte den Mitarbeitern angeblich unmissverständlich mit, dass das Programm verpflichtend sei
• Erste Zugeständnisse (Anfang Juni): Meta schränkte MCI ein – Mitarbeiter konnten die Datenerfassung für bis zu 30 Minuten pausieren, und einige Datenkategorien wurden ausgeschlossen
• Datenschutz- und Rechtsbedenken: Mitarbeiter äußerten Bedenken wegen möglicher Verstöße gegen die DSGVO, da auch Kommunikation mit EU-Kollegen erfasst werden konnte

Datenschutzrisiken und regulatorische Implikationen

Das Programm erfasste Daten von festgelegten Arbeits-Apps und -Websites. Reuters berichtete jedoch, dass Meta selbst einräumte, dass auch Kommunikation mit Nicht-US-Mitarbeitern erfasst werden könnte . EU-Datenschutzbehörden begannen zu prüfen, ob MCI gegen die DSGVO-Anforderungen in Bezug auf Einwilligung, Datenminimierung und Mitarbeiterüberwachung verstößt .

Das Datenleck selbst – unverschlüsselte Datenbanken mit privaten Gesprächen und Leistungsdaten – war der entscheidende Vorfall, der die Aussetzung erzwang . Es verwandelte monatelange interne Datenschutzbeschwerden in eine konkrete Sicherheitsverletzung, die Meta nicht ignorieren konnte.

Fazit

MCI wurde nicht allein wegen des internen Aufschreis gestoppt, sondern weil ein Sicherheitskonfigurationsfehler die höchst sensiblen Daten des Programms für die gesamte Belegschaft offenlegte. Der Vorfall machte aus monatelangen Datenschutzbedenken einen handfesten Vorfall und zwang Meta, die Initiative zu pausieren, während die Ursachen untersucht werden.