Metas KI-Tracking: USA erlaubt, EU verboten
Der Fall Meta in einer Zeile
Im April 2026 begann Meta, auf den Arbeitsrechnern seiner US-Beschäftigten Mausbewegungen, Klicks, Tastatureingaben und periodische Bildschirm-Aufnahmen zu erfassen. Die Daten fließen in das Training konzerneigener KI-Agenten. Vier Wochen später wurden 7.000 Beschäftigte in neue KI-Teams zwangsversetzt, weitere 8.000 erhielten Kündigungen. Nach Berichten von NPR und Bloomberg entspricht das etwa zehn Prozent der globalen Belegschaft. Mitte Mai veröffentlichte die Mediengruppe More Perfect Union eine Audioaufnahme eines Zuckerberg-All-Hands vom 30. April, in der der CEO die Logik des Programms offen begründet: KI-Modelle lernten "vom Zuschauen bei wirklich klugen Menschen".
Was in den USA als interne Effizienzmaßnahme firmiert, wäre in Deutschland ein massiver Rechtsverstoß. Genau diese Diskrepanz ist der eigentliche Kern der Geschichte. Sie wirft eine Frage auf, die deutsche Aufsichtsbehörden bisher nicht beantworten: Wenn Meta in der EU rund 2.800 Menschen beschäftigt, warum hat keine einzige Behörde reagiert?
Was US-Recht erlaubt — und warum
Der Electronic Communications Privacy Act (ECPA) lässt Arbeitgeber-Monitoring auf Firmengeräten weitgehend offen. Zwei Ausnahmen tragen das Programm: erstens das Einverständnis bei Einstellung, zweitens der unklare Begriff "ordinary course of business". Beschäftigte haben auf Arbeitsgeräten keine "reasonable expectation of privacy". Kalifornien hat über die CPRA Notice-Pflichten, aber kein generelles Verbot. Das At-Will-Employment-Prinzip vollendet die Asymmetrie: 49 von 50 Bundesstaaten erlauben Entlassungen ohne Angabe von Gründen, solange keine Diskriminierung vorliegt. Das NLRB-Memo von Jennifer Abruzzo (2022) versuchte, einen Schutz vor Bossware zu etablieren — wurde aber 2025 unter der Trump-Administration zurückgezogen. Die Folge: Meta darf seine Beschäftigten beim Arbeiten filmen, das Material in Modelle einspeisen und die gefilmten Personen anschließend entlassen, ohne juristisches Risiko.
Was deutsches und europäisches Recht verbietet
In Deutschland würde dasselbe Setup an mehreren Stellen brechen.
Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das Bundesarbeitsgericht hat mit der Entscheidung vom 16. Juli 2024 (Az. 1 ABR 16/23) klargestellt: Schon die bloße *Möglichkeit*, dass eine technische Einrichtung Verhalten oder Leistung überwacht, löst Mitbestimmungspflicht des Betriebsrats aus. Eine Software, die Maus und Tastatur protokolliert, erfüllt diesen Tatbestand zwangsläufig.
Heimliches Keylogging. Das BAG-Urteil vom 27. Juli 2017 (Az. 2 AZR 681/16) verbietet heimliche Aufzeichnung ohne konkreten Tatverdacht und ordnet ein Beweisverwertungsverbot an. Im Meta-Setup gibt es keinen Tatverdacht, sondern ein Trainings-Interesse. Das ist juristisch der schwächste denkbare Rechtfertigungsgrund.
Datenschutz. Der EuGH hat mit C-34/21 (30. März 2023) § 26 BDSG die Türen geschlossen. Verbleibt nur Art. 6 Abs. 1 lit. f DSGVO mit strenger Interessenabwägung. Für KI-Training mit Beschäftigtendaten praktisch nicht erfüllbar — der LfDI Baden-Württemberg verlangt ausdrücklich Vorrang anonymer oder synthetischer Daten.
EU AI Act. Ab dem 2. August 2026 gelten die Hochrisiko-Pflichten des Artikels 6 in Verbindung mit Annex III Nr. 4 für Workplace-Monitoring-Systeme. Strafrahmen: bis zu 15 Mio. EUR oder drei Prozent des Konzernumsatzes. Bei Meta-Größenordnung sprechen wir vom oberen Schwellenwert.
Die irische Lücke
Das eigentliche Spannungsfeld liegt nicht in den USA, sondern in Dublin. Meta Platforms Ireland fungiert seit Jahren als Lead-Establishment für die EU. Die irische Data Protection Commission (DPC) ist damit zuständige Aufsichtsbehörde für alle Meta-Vorgänge in der EU. Sie ist bisher schweigsam.
Das ist bemerkenswert, weil Art. 57 Abs. 1 lit. a DSGVO den Aufsichtsbehörden eine *proaktive* Aufsichtspflicht auferlegt. Sobald öffentlich verbreitete Tatsachen einen Verdachtsfall begründen, ist die Behörde gehalten, von Amts wegen zu prüfen — nicht erst auf Beschwerde zu warten. Das Reuters-Memo, das Bosworth-Zitat und die geleakte Zuckerberg-Audioaufnahme sind drei voneinander unabhängige öffentliche Belege.
Auch der Bundesbeauftragte für den Datenschutz hat sich nicht geäußert. Meta unterhält in München ein XR/AI-Office sowie in Berlin und Hamburg Vertrieb und Policy. Laut Business Insider sind das zusammen rund 500 Beschäftigte, mit einem aktiven Betriebsrat seit 2023.
Drei Hebel für eine reale Untersuchung
Auch wenn Meta beteuert, EU-Laptops vom MCI-Programm auszunehmen (Platformer zitiert Bosworth: "Technically, there is one way to opt out: relocate to Europe"), bleiben drei investigationswürdige Pfade offen.
Der erste betrifft den Drittlandtransfer. EU-Beschäftigte arbeiten täglich mit US-Kollegen in Slack, Teams und gemeinsamen Repositories. Periodische Screenshots auf US-Laptops erfassen damit zwangsläufig EU-Mitarbeiterdaten als "Beifang". Art. 44 ff. DSGVO und die Anforderungen des EU-US Data Privacy Framework greifen, sobald solche Daten in den USA verarbeitet werden.
Der zweite Pfad führt über den AI Act. Sobald Meta die auf US-Verhaltensdaten trainierten Agenten in EU-Märkten ausrollt, gelten die Hochrisiko-Pflichten aus Annex III für jedes Workplace-AI-System. Konformitätsbewertung, CE-Kennzeichnung, Registrierung und Post-Market-Monitoring werden Pflicht.
Der dritte Pfad geht über den deutschen Betriebsrat. Der Betriebsrat von Meta Germany kann den Konzernsachverhalt nach § 80 BetrVG zum Gegenstand einer Anhörung machen. Auch ohne direkte Betroffenheit deutscher Beschäftigter ist die Aufklärung des Konzern-Vorgangs ein berechtigtes Informationsinteresse, gerade im Hinblick auf zukünftige Tool-Einführungen.
Meta ist nicht der Ausreißer
Der eigentlich beunruhigende Befund ist nicht Meta selbst, sondern wie nahe Meta am Branchen-Default sitzt. Laut Digital.com-Studie 2026 setzen 78 Prozent der Unternehmen weltweit bereits Monitoring-Software ein (umgangssprachlich "Bossware"). Eine ExpressVPN-Analyse zeigt: 61 Prozent kombinieren das bereits mit AI-Analytics zur automatischen Mitarbeiter-Bewertung. Cyberhaven hat dokumentiert, dass der Anteil sensibler Unternehmensdaten in AI-Tools sich in zwei Jahren von 10,7 auf 34,8 Prozent mehr als verdreifacht hat.
Das eindrücklichste aktuelle Beispiel ist GitHub Copilot. Bis April 2026 galt: Code-Snippets von Free- und Pro-Usern wurden nicht für das Training neuer Copilot-Modelle verwendet. Die Standardeinstellung war "aus" (Opt-In). Seit dem 24. April 2026 ist die Default-Einstellung umgekehrt. Code-Snippets, Cursor-Kontext, Repository-Struktur und sogar Klick-Verhalten fließen jetzt automatisch ins Modelltraining. Wer das nicht will, muss das aktiv deaktivieren (Opt-Out, oft mehrere Klicks tief vergraben). Microsoft als Mutterkonzern profitiert mit. Der konkurrierende KI-Editor Cursor handhabt es genauso.
Anders gesagt: Jeder Entwickler, der seit dem 24. April 2026 mit Copilot arbeitet, trainiert standardmäßig dessen Nachfolge-Modell mit. Meta ist nur die nächste Eskalations-Stufe — komplette Arbeitsplatz-Aufnahme statt nur Tool-Interaktion. Der AI-Governance-Adviser Chen Avnery hat es im Mai 2026 auf die kürzeste Formel gebracht: "Every company is training AI on their employees. Meta just said it out loud."
Was das für Payroll Fuchs bedeutet
Payroll Fuchs sieht in diesem Fall vor allem den Maßstab, an dem sich deutsche Unternehmen messen lassen müssen, wenn sie eigene KI-Tools einführen. Die Versuchung, Engineer-Aktivität, Servicemitarbeiter-Chats oder Sachbearbeiter-Klicks als Trainingsgrundlage zu nutzen, ist groß. Sie nimmt zu, je dichter das eigene Tool-Stack mit Copilot-, Salesforce- und Microsoft-Telemetrie verflochten ist.
Für Payroll- und HR-Verantwortliche heißt das konkret: vor jedem Tool-Rollout den Betriebsrat einbinden, die Telemetrie-Defaults aller Anbieter schriftlich prüfen, AI-Trainingsklauseln vertraglich ausschließen, und die DSGVO-Interessenabwägung dokumentieren, bevor irgendwelche Beschäftigtendaten in ein Modell wandern. Wer das versäumt, riskiert Bußgelder ebenso wie den Vertrauensverlust derer, deren Leistung gerade aufgezeichnet wird.
FAQ
Hat Meta in Europa wirklich Beschäftigte?
Ja. Rund 2.300 in Irland (EU-HQ Dublin), etwa 500 in Deutschland (München, Berlin, Hamburg), weitere Standorte in London, Paris, Madrid, Mailand und Stockholm.
Sind EU-Laptops wirklich vom MCI-Programm ausgenommen?
Laut Platformer-Bericht ja. Eine formelle Bestätigung gegenüber EU-Behörden oder europäischen Betriebsräten liegt jedoch nicht vor.
Hat eine deutsche Behörde bisher reagiert?
Nein. Stand 22. Mai 2026 schweigen die irische DPC, der BfDI, die DSK und der EDPB zum MCI-Fall.
Wann greift der EU AI Act?
Die Hochrisiko-Pflichten für Workplace-AI gelten ab 2. August 2026 verbindlich. Bei Verstößen drohen bis zu 15 Mio. EUR oder 3 % des weltweiten Konzernumsatzes.
Was bedeutet die "Beifang"-These rechtlich?
EU-Mitarbeiterdaten, die in Slack-Screenshots von US-Kollegen miterfasst werden, fallen unter Art. 44 ff. DSGVO (Drittlandtransfer) und können Lead-Authority-Pflichten der irischen DPC auslösen.
Vollständige Quellenliste
- Reuters / Carrier Management — Meta tracking software for AI training
- Platformer — Meta MCI Monitoring, Layoffs and the future of knowledge work
- Common Dreams — Meta AI Layoff and the leaked Zuckerberg audio
- CNBC — Meta tracks employee usage for AI training
- NPR — Meta slashes 8,000 jobs as it pivots towards AI
- Bloomberg — Meta begins layoffs in AI restructuring
- Gizmodo — Meta plans to turn employee clicks into AI training data
- The Register — Those spared Meta job cuts forcibly reassigned to AI roles
- Fortune — Meta will start tracking employees' screens and keystrokes to train AI
- Business Insider DE — Meta Germany Betriebsrat
- Silicon Republic — Meta Ireland Headcount
- BfDI — Statement zu Meta AI
- Bundesarbeitsgericht — 1 ABR 16/23 vom 16.07.2024
- Bundesarbeitsgericht — 2 AZR 681/16 vom 27.07.2017
- EuGH C-34/21 vom 30.03.2023 — Hessischer Beauftragter für Datenschutz
- EU AI Act Annex III — Workplace Monitoring as High-Risk
- Platform Work Directive — Off-Duty Data Prohibitions