Meta hat ein umstrittenes Programm zur Mitarbeiterüberwachung ausgesetzt, nachdem eine interne Sicherheitsüberprüfung ergeben hatte, dass sehr detaillierte Daten zu Tastenanschlägen und Bildschirmaufnahmen von den Laptops der Mitarbeiter innerhalb des Unternehmens weitaus breiter zugänglich waren als beabsichtigt.
Das Programm war Teil der „Model Capability Initiative“ (MCI) von Meta, im Rahmen derer Mausbewegungen, Klickpositionen, Tastenanschläge und Bildschirminhalte von den Arbeitslaptops der Mitarbeiter erfasst wurden, um interne KI-Systeme zu trainieren.
Das Programm barg zudem ein offensichtliches Risiko. Die Erfassung hochsensibler Daten über die Aktivitäten der Mitarbeiter ist eine Sache. Diese Daten ordnungsgemäß zu schützen, ist eine andere.
Berichten zufolge, die sich auf interne Dokumente und Aussagen von Mitarbeitern stützen, wurden die Daten nicht nur erfasst. Sie waren auch in Tausenden von internen Datentabellen zugänglich, darunter KI-Eingabeaufforderungen, Transkriptionen, private Unterhaltungen und leistungsbezogene Informationen.
Nach der Berichterstattung über die Enthüllung schraubte Meta die Initiative zurück und setzte sie schließlich aus – vor dem Hintergrund anhaltender interner Kritik und der Frage, ob der Datenschutz jemals mehr als eine bloße Zusicherung in einem Memo gewesen sei.
Aus der Sicht von Meta war die „Model Capability Initiative“ eine Maßnahme zur Effizienzsteigerung. Das Ziel bestand darin, KI-Modellen „reale Beispiele dafür zu liefern, wie Menschen Computer tatsächlich nutzen“, indem passiv protokolliert wurde, wie Mitarbeiter mit alltäglichen Tools wie Gmail, GChat, Metamate und VS Code umgehen. Die KI-Agenten sollten so aus realen Arbeitsabläufen lernen können, anstatt auf synthetische Benchmarks zurückzugreifen.
Den Mitarbeitern wurde versprochen, dass sich die Datenerfassung auf Arbeits-Apps beschränken und nicht die privaten Smartphones der Mitarbeiter betreffen würde. Aber man kann sich vorstellen, wie das aufgenommen wurde:
- Auf den Laptops der US-Mitarbeiter wurde eine Software zur Erfassung von Tastenanschlägen und Mausbewegungen installiert, ohne dass auf den Firmengeräten die Möglichkeit bestand, sich davon abzumelden, wie der CTO von Meta intern bestätigte.
- Die Software erfasste Eingaben sowie die dazugehörigen Bildschirminhalte und erstellte so einen Datensatz zum Nutzerverhalten: was Sie eingeben, wo Sie klicken und was dabei auf Ihrem Bildschirm zu sehen ist.
Das Programm löste erhebliche interne Kritik aus. Ein interner Beitrag eines Ingenieurs, in dem er gegen die „Laptop-Überwachung“ und die Bildschirmüberwachung protestierte, verbreitete sich wie ein Lauffeuer innerhalb von Meta und führte zu einer Petition, das Programm vollständig einzustellen.
Aus Compliance-Sicht können Mitarbeiterüberwachungsprogramme dieser Größenordnung schwierige rechtliche und regulatorische Fragen aufwerfen, insbesondere in Rechtsordnungen, die Transparenz hinsichtlich der Überwachung am Arbeitsplatz und der Datenerhebung vorschreiben.
Die Auswirkungen auf den Ruf sind wohl sogar noch gravierender. Wenn ein Unternehmen ohnehin schon ständig wegen der Nachverfolgung seiner Nutzer unter Beobachtung steht, sendet ein Vertrauensbruch gegenüber den Mitarbeitern ein deutliches Signal hinsichtlich seiner grundsätzlichen Haltung gegenüber Daten.
Und das alles in dem Wissen, dass Tastenanschlag- und Screenshot-Daten von Natur aus ein hohes Risiko darstellen. Diese Art von Daten ist inhaltsreich, verhaltensbezogen und enthält oft vertrauliche Informationen. Ihre Erfassung in großem Umfang stellt eine Sicherheitsbelastung dar. Jeder neue Datenpunkt bringt Verpflichtungen in Bezug auf Zugriffskontrolle, Datenminimierung, Aufbewahrungsfristen und Nachverfolgung mit sich, die das Unternehmen aktiv verwalten muss, solange die Daten existieren.
- Zugriffskontrollen müssen präzise sein und regelmäßig überprüft werden, da bereits eine einfache Fehlkonfiguration schwerwiegende Folgen haben kann.
- Die Datenminimierung und die Aufbewahrungsfristen sind von entscheidender Bedeutung, da eine langfristige Speicherung die Auswirkungen einer möglichen Datenschutzverletzung vervielfacht.
- Jeder künftige Datenverlust – sei er intern oder extern – könnte nicht nur E-Mails offenlegen, sondern auch die genauen Tastenfolgen der Mitarbeiter, einschließlich Authentifizierungsabläufe und Entwürfe von Inhalten. In den falschen Händen könnten solche Informationen das Unternehmen einem Sicherheitsrisiko aussetzen.
Diese Episode macht deutlich, dass jeder neue Datensatz neue Verantwortlichkeiten mit sich bringt. Je detaillierter und sensibler die Informationen sind, desto schwerwiegender sind die Folgen, wenn die Zugriffskontrollen versagen.
Betrüger müssen sich nicht in dein System hacken. Es reicht schon, wenn du einmal darauf klickst.
Malwarebytes Identity Theft erkennt verdächtige Aktivitäten, bevor sie zu einem Problem werden.
