X, die Social-Media-Plattform von Elon Musk, ist Ziel einer Reihe von Datenschutzbeschwerden geworden, nachdem sie sich an Daten von Nutzern in der Europäischen Union bedient hatte, um KI-Modelle zu trainieren, ohne die Menschen um ihre Zustimmung zu bitten.
Ende letzten Monats scharfäugiger Social-Media-Nutzer entdeckte eine Einstellung, die darauf hinwies, dass X still und leise begonnen hatte, die Postdaten regionaler Benutzer zu verarbeiten, um seinen Grok AI-Chatbot zu trainieren. Die Enthüllung löste bei der irischen Datenschutzkommission (DPC), der Aufsichtsbehörde, die die Einhaltung der Datenschutz-Grundverordnung (DSGVO) des Blocks durch X federführend überwacht, einen Ausdruck der „Überraschung“ aus.
Die DSGVO, die bestätigte Verstöße mit Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes bestrafen kann, verlangt für jede Verwendung personenbezogener Daten eine gültige Rechtsgrundlage. Die neun Beschwerden gegen X, die bei Datenschutzbehörden in Österreich, Belgien, Frankreich, Griechenland, Irland, Italien, den Niederlanden, Polen und Spanien eingereicht wurden, werfen dem Unternehmen vor, diesen Schritt nicht zu erfüllen, indem es die Posts von Europäern verarbeitet, um KI zu trainieren, ohne deren Zustimmung einzuholen.
In einer Stellungnahme kommentierte Max Schrems, Vorsitzender der gemeinnützigen Organisation für Datenschutzrechte noyb Das DPC, das die Beschwerden unterstützt, sagte: „Wir haben in den vergangenen Jahren unzählige Fälle ineffizienter und teilweiser Durchsetzung durch das DPC gesehen. Wir möchten sicherstellen, dass Twitter das EU-Recht vollständig einhält, das in diesem Fall – als absolutes Minimum – erfordert, die Nutzer um ihre Zustimmung zu bitten.“
Der DPC hat bereits Maßnahmen gegen die Datenverarbeitung von X zum Zweck des Trainings von KI-Modellen ergriffen und beim irischen High Court Klage eingereicht, um eine einstweilige Verfügung zu erwirken, die das Unternehmen zwingen soll, die Daten nicht mehr zu verwenden. Doch noyb behauptet, die bisherigen Maßnahmen des DPC seien unzureichend und weist darauf hin, dass es für X-Benutzer keine Möglichkeit gebe, das Unternehmen dazu zu bringen, „bereits aufgenommene Daten“ zu löschen. Als Reaktion darauf hat noyb in Irland und sieben weiteren Ländern DSGVO-Beschwerden eingereicht.
In den Beschwerden wird argumentiert, dass X keine gültige Grundlage dafür habe, die Daten von rund 60 Millionen Menschen in der EU zu verwenden, um KIs zu trainieren, ohne deren Zustimmung einzuholen. Die Plattform scheint sich auf eine Rechtsgrundlage zu stützen, die als „legitimes Interesse“ für die KI-bezogene Verarbeitung bekannt ist. Datenschutzexperten sagen jedoch, dass sie die Zustimmung der Menschen einholen muss.
„Unternehmen, die direkt mit Nutzern interagieren, müssen ihnen lediglich eine Ja/Nein-Abfrage anzeigen, bevor sie ihre Daten verwenden. Sie tun dies regelmäßig für viele andere Dinge, daher wäre dies definitiv auch für das KI-Training möglich“, schlug Schrems vor.
Im Juni setzte Meta einen ähnlichen Plan zur Verarbeitung von Benutzerdaten für das Training von KIs aus, nachdem noyb einigen DSGVO-Beschwerden nachgekommen war und die Regulierungsbehörden eingriffen.
Doch X‘ Ansatz, sich still und leise an Benutzerdaten für das KI-Training zu bedienen, ohne die Leute auch nur zu benachrichtigen, hat es dem Unternehmen offenbar ermöglicht, mehrere Wochen lang unbemerkt zu bleiben.
Laut DPC verarbeitete X zwischen dem 7. Mai und dem 1. August Daten von Europäern für das Training von KI-Modellen.
Benutzer von X haben die Möglichkeit erhalten, die Verarbeitung über eine Einstellung abzulehnen, die der Webversion der Plattform hinzugefügt wurde – anscheinend Ende Juli. Zuvor gab es jedoch keine Möglichkeit, die Verarbeitung zu blockieren. Und natürlich ist es schwierig, der Verwendung Ihrer Daten für das KI-Training zu widersprechen, wenn Sie nicht einmal wissen, dass dies überhaupt geschieht.
Dies ist wichtig, da das ausdrückliche Ziel der DSGVO darin besteht, die Europäer vor einer unerwarteten Verwendung ihrer Informationen zu schützen, die Auswirkungen auf ihre Rechte und Freiheiten haben könnte.
Zur Begründung der Klage gegen die Wahl der Rechtsgrundlage durch X verweist noyb auf ein Urteil des obersten europäischen Gerichtshofs vom vergangenen Sommer. Es ging um eine Wettbewerbsbeschwerde gegen die Verwendung personenbezogener Daten durch Meta für zielgerichtete Werbung. Die Richter urteilten, dass für diesen Anwendungsfall keine Rechtsgrundlage auf der Grundlage eines berechtigten Interesses vorliege und die Zustimmung des Nutzers eingeholt werden müsse.
Noyb weist auch darauf hin, dass Anbieter generativer KI-Systeme in der Regel behaupten, sie könnten andere zentrale DSGVO-Anforderungen nicht erfüllen, wie etwa das Recht auf Vergessenwerden oder das Recht auf Erhalt einer Kopie der persönlichen Daten. Solche Bedenken kommen auch in anderen noch offenen DSGVO-Beschwerden gegen OpenAIs ChatGPT vor.