Anfang dieser Woche beendete die führende Datenschutzbehörde der EU ihr Gerichtsverfahren im Zusammenhang mit der Art und Weise, wie X Benutzerdaten verarbeitete, um seinen KI-Chatbot Grok zu trainieren. Doch die Saga ist für die früher als Twitter bekannte Social-Media-Plattform von Elon Musk noch nicht vorbei. Die irische Datenschutzkommission (DPC) hat gegenüber Tech bestätigt, dass sie eine Reihe von Beschwerden erhalten hat – und diese „prüfen“ wird, die im Rahmen der Datenschutz-Grundverordnung (DSGVO) des Blocks eingereicht wurden.
„Der DPC wird nun prüfen, inwieweit die erfolgte Verarbeitung den einschlägigen Bestimmungen der DSGVO entspricht“, sagte die Aufsichtsbehörde gegenüber Tech. „Wenn sich im Anschluss an diese Prüfung herausstellt, dass TUIC [Twitter International Unlimited Company, as X’s main Irish subsidiary is still known] gegen die DSGVO verstoßen hat, prüft der DPC, ob die Ausübung seiner Abhilfebefugnisse gerechtfertigt ist und wenn ja, welche.“
Anfang August stimmte X zu, die Datenverarbeitung für das Grok-Training auszusetzen. Diese Verpflichtung wurde Anfang dieser Woche dauerhaft gemacht. Laut einer Kopie, die Tech vorliegt, verpflichtete sich X laut einer Vereinbarung, die es zwischen dem 7. Mai 2024 und dem 1. August 2024 gesammelt hatte, die Daten europäischer Nutzer zu löschen und nicht mehr zum Trainieren seiner KIs zu verwenden. Inzwischen ist jedoch klar, dass X nicht verpflichtet ist, mit diesen Daten trainierte KI-Modelle zu löschen.
Bisher wurde X von der DPC nicht dafür bestraft, dass es personenbezogene Daten von Europäern verarbeitet hat, um Grok ohne deren Zustimmung zu schulen – trotz der dringenden gerichtlichen Maßnahmen der DPC, um die Datenerfassung zu unterbinden. Die Strafen gemäß der DSGVO können hoch sein und bis zu 4 % des weltweiten Jahresumsatzes betragen. (Angesichts der Tatsache, dass die Umsätze des Unternehmens jetzt in freier Fallund könnte den gemeldeten Quartalszahlen zufolge in diesem Jahr durchaus die Marke von 500 Millionen Dollar knacken, und das könnte besonders wehtun.)
Regulierungsbehörden sind auch befugt, betriebliche Änderungen anzuordnen, indem sie die Einstellung von Verstößen verlangen. Die Untersuchung und Durchsetzung von Beschwerden kann jedoch lange dauern – manchmal sogar mehrere Jahre.
Dies ist wichtig, da X zwar gezwungen war, nicht mehr auf die Daten der Europäer zurückzugreifen, um Grok zu trainieren, es jedoch immer noch in der Lage ist, alle KI-Modelle, mit denen es trainiert wurde, auf der Grundlage der Daten von Personen zu betreiben, die dieser Nutzung nicht zugestimmt haben – und dass es bisher kein dringendes Eingreifen oder Sanktionen gegeben hat, um dies zu verhindern.
Auf die Frage, ob die Zusage, die der DPC letzten Monat von X erhalten hatte, X dazu verpflichtete, alle mit Daten von Europäern trainierten KI-Modelle zu löschen, bestätigte uns der DPC, dass dies nicht der Fall sei: „Die Zusage verpflichtet TUIC nicht, diese Maßnahme durchzuführen; sie verpflichtet TUIC, die Verarbeitung der von der Zusage erfassten Datensätze dauerhaft einzustellen“, sagte ein Sprecher.
Manche würden sagen, dass dies eine gute Möglichkeit für X (oder andere, die Modelle trainieren) ist, die Datenschutzbestimmungen der EU zu umgehen: Schritt 1) Bedienen Sie sich heimlich an den Daten der Leute; Schritt 2) Verwenden Sie sie, um KI-Modelle zu trainieren, und – wenn die Katze aus dem Sack ist und die Regulierungsbehörden endlich anklopfen – verpflichten Sie sich, *die Daten* zu löschen und Ihre trainierten KI-Modelle intakt zu lassen. Schritt 3) Grok-basierter Profit!?
Auf dieses Risiko angesprochen, antwortete der DPC, dass der Zweck seines dringenden Gerichtsverfahrens darin bestanden habe, auf „erhebliche Bedenken“ zu reagieren, dass die Verarbeitung der Daten von EU- und EWR-Nutzern durch X zur Schulung von Grok „Risiken für die Grundrechte und Freiheiten der betroffenen Personen mit sich bringe“. Er erklärte jedoch nicht, warum er nicht die gleichen dringenden Bedenken hinsichtlich der Risiken für die Grundrechte und Freiheiten der Europäer hat, die durch die Einbettung ihrer Informationen in Grok entstehen.
Generative KI-Tools sind dafür bekannt, falsche Informationen zu produzieren. Musks Interpretation dieser Kategorie ist zudem absichtlich respektlos – oder „anti-woke“, wie er sie nennt. Das könnte die Risiken hinsichtlich der Art von Inhalten erhöhen, die der Bot über Benutzer produzieren könnte, deren Daten zum Trainieren des Bots verwendet wurden.
Ein Grund, warum die irische Regulierungsbehörde bei diesem Thema vorsichtiger vorgehen könnte, ist, dass diese KI-Tools noch relativ neu sind. Auch unter den europäischen Datenschutzbehörden herrscht Unsicherheit darüber, wie die DSGVO gegen eine so neuartige Technologie durchgesetzt werden soll. Zudem ist nicht klar, ob die Befugnisse der Regulierung auch so weit gehen, dass sie die Löschung von KI-Modellen anordnen kann, wenn eine Technologie mit unrechtmäßig verarbeiteten Daten trainiert wurde.
Doch da sich die Beschwerden in diesem Bereich weiterhin häufen, müssen sich die Datenschutzbehörden früher oder später mit der generativen KI auseinandersetzen.
Gurken werden sauer
In separaten X-News vom Freitag wurde bekannt, dass der Leiter für globale Angelegenheiten von X nicht mehr da ist. Reuters berichtete über den Abgang des langjährigen Mitarbeiters Nick Pickles, eines Briten, der ein Jahrzehnt bei Twitter verbrachte und während Musks Amtszeit weiter die Karriereleiter hinaufstieg.
In einem Beitrag auf XPickles behauptete, er habe die Entscheidung zum Weggang „vor mehreren Monaten“ getroffen, ging jedoch nicht näher auf seine Gründe ein.
Es ist jedoch klar, dass das Unternehmen eine Menge zu tun hat – es muss sich unter anderem mit einem Verbot in Brasilien auseinandersetzen und in Großbritannien mit politischen Reaktionen auf seine Rolle bei der Verbreitung von Falschinformationen im Zusammenhang mit den Unruhen im Land im vergangenen Monat rechnen. Musk hat außerdem eine persönliche Vorliebe dafür, Öl ins Feuer zu gießen (unter anderem postete er auf X, dass für Großbritannien „ein Bürgerkrieg unvermeidlich“ sei).
Auch in der EU wird gegen X im Rahmen der Inhaltsmoderation ermittelt. Im Juli wurden erste Beschwerden gegen den Digital Services Act eingereicht. In einem offenen Brief des EU-Kommissars für Binnenmärkte, Thierry Breton, erhielt Musk kürzlich eine persönliche Warnung – worauf der chaosliebende Milliardär mit einem beleidigenden Meme antwortete.