Die führende Datenschutzbehörde für X (ehemals Twitter) in der Europäischen Union hat das Gerichtsverfahren gegen die Social-Media-Plattform wegen der Verarbeitung von Benutzerdaten für das Training von KI-Modellen ohne deren Zustimmung eingestellt. Zuvor hatte das Unternehmen erklärt, es habe sich dauerhaft an eine Verpflichtung gehalten, die es letzten Monat vor einem Richter des irischen High Court eingegangen war.
X erklärte sich Anfang August bereit, die Verarbeitung der Daten europäischer Benutzer für das Training von KI-Modellen auszusetzen, nachdem die irische Datenschutzkommission (DPC) rechtliche Schritte gegen das im Besitz von Elon Musk befindliche Unternehmen eingeleitet hatte, da das Unternehmen ohne seine Zustimmung personenbezogene Daten für das Training seines KI-Chatbots Grok verwendet hatte.
Meta hat in der EU wegen des gleichen Datenschutzproblems mit ähnlichem regulatorischen Druck zu kämpfen und im Juni eine eigene „Pause“ bei dieser Art der Verarbeitung angekündigt. X ist also nicht das einzige Unternehmen, das mit seinem Versuch, Benutzerdaten als Trainingsmaterial für KI-Modelle zu verwenden, den Zorn der Regulierungsbehörden auf sich gezogen hat.
„Der DPC freut sich, den Abschluss des Verfahrens bekannt zu geben, das er am 8. August 2024 vor dem irischen High Court angestrengt hat“, schrieb der DPC am Mittwoch in einem Pressemitteilung. „Die Sache wurde heute Morgen erneut vor Gericht gebracht und das Verfahren wurde eingestellt, da X sich bereit erklärt hat, sich weiterhin an die Bedingungen der Verpflichtung zu halten (DPC-Erklärung vom 08.08.24) auf Dauer.“
In einer Stellungnahme zum Abschluss des Gerichtsverfahrens fügte Kommissar (Vorsitzender) Des Hogan hinzu: „Der DPC begrüßt das heutige Ergebnis, das die Rechte der EU-/EWR-Bürger schützt. Dieses Vorgehen zeigt erneut die Entschlossenheit des DPC, bei Bedarf in Zusammenarbeit mit den europäischen Regulierungsbehörden geeignete Maßnahmen zu ergreifen. Wir sind dankbar, dass das Gericht die Angelegenheit geprüft hat.“
Der genaue Inhalt von Xs (nun dauerhafter) Vereinbarung mit dem DPC wurde nicht öffentlich gemacht*, aber es wird angenommen, dass die Vereinbarung die Verwendung personenbezogener Daten einschränkt. Wir haben den DPC gebeten, den Inhalt der Vereinbarung zu bestätigen und werden diesen Artikel aktualisieren, wenn er diese Informationen bereitstellt.
Auch X wurde um einen Kommentar zu seiner Vereinbarung mit dem DPC gebeten, zum Zeitpunkt der Abfassung dieses Artikels lag jedoch noch keine Stellungnahme vor.
Die Plattform hatte zuvor über einen Global Government Affairs-Account gegen die irische Regulierungsbehörde gewettert. In einem Beitrag vom 7. August auf X beschrieb das Unternehmen die Maßnahmen der DPC als „zutiefst beunruhigend“, und warf der Kommission vor, X „ohne jede Rechtfertigung“ herauszuheben.
Die Datenschutz-Grundverordnung (DSGVO) der EU legt jedoch fest, wie personenbezogene Daten verarbeitet werden dürfen. Dazu gehört auch die zwingende Anforderung, dass eine gültige Rechtsgrundlage für den Umgang mit personenbezogenen Daten vorliegen muss. Und X sah sich schnell einer Flut von DSGVO-Beschwerden gegenüber, weil es sich für Grok-Schulungen an den Daten von Personen bediente, ohne deren Erlaubnis einzuholen.
Warum könnte sich X jetzt aus diesem Kampf zurückziehen? Bestätigte Verstöße gegen die DSGVO können zu Sanktionen von bis zu 4 % des weltweiten Jahresumsatzes führen. Und es ist bemerkenswert, dass es für X keine Geldstrafe in Bezug auf die Verarbeitung gab, die der DPC für schwerwiegend genug hielt, um sie durch eine einstweilige Verfügung zu stoppen.
Es ist auch möglich, dass X seine Schlachten etwas sorgfältiger auswählt. Schließlich hat Musk derzeit eine Reihe hochkarätiger Rechtsstreitigkeiten und Regulierungsstreitigkeiten zu bewältigen.
Um einen Kommentar zum Ausgang des Gerichtsverfahrens der DPC gegen X bat Max Schrems – der europäische Datenschutzaktivist, dessen gemeinnützige Organisation (noyb), der DSGVO-Beschwerden gegen X und andere im Zusammenhang mit dem Thema KI-Training unterstützt hat, sagte gegenüber Tech: „Twitter ist im Grunde ohne Geldstrafe davongekommen, trotz eines eklatanten Gesetzesverstoßes. Daten, die bereits für ‚Grok AI‘ aufgenommen wurden, werden ebenfalls nicht gelöscht, und Twitter bietet das Produkt weiterhin auf der Grundlage unrechtmäßig erhaltener Daten an.“
Schrems bestätigte auch, dass noyb seine Beschwerden zu diesem Thema nicht zurückziehen werde. „Wir halten weiterhin an unseren Beschwerden fest, die bald vom DPC ordnungsgemäß und ohne Hinterzimmer-Deals entschieden werden müssen“, fügte er hinzu.
Am Mittwoch gab der DPC außerdem bekannt, dass er den Europäischen Datenschutzausschuss (EDSA) um eine Stellungnahme zu den seiner Ansicht nach allgemeineren Problemen ersucht habe, die sich aus der Verwendung personenbezogener Daten in KI-Modellen in der gesamten Industrie ergeben. Er erklärte, er wolle, dass das Lenkungsgremium der DSGVO Leitlinien erstelle, die „die dringend benötigte Klarheit in diesen komplexen Bereich bringen“ könnten.
„Die Stellungnahme fordert den EDSA unter anderem dazu auf, das Ausmaß zu prüfen, in dem personenbezogene Daten in verschiedenen Phasen der Schulung und des Betriebs eines KI-Modells verarbeitet werden, einschließlich Erstanbieter- und Drittanbieterdaten, und die damit verbundene Frage, welche besonderen Überlegungen sich im Zusammenhang mit der Beurteilung der Rechtsgrundlage ergeben, auf die sich der Datenverantwortliche zur Begründung dieser Verarbeitung stützt“, schrieb der DPC.
In einer weiteren unterstützenden Stellungnahme fügte DPC-Kommissar Dale Sunderland hinzu: „Der DPC hofft, dass die daraus resultierende Stellungnahme eine proaktive, wirksame und einheitliche europaweite Regulierung dieses Bereichs im weiteren Sinne ermöglicht. Sie wird auch die Bearbeitung einer Reihe von Beschwerden unterstützen, die beim DPC in Bezug auf eine Reihe verschiedener Datenverantwortlicher eingereicht/an ihn übermittelt wurden, und zwar zu Zwecken im Zusammenhang mit der Schulung und Entwicklung verschiedener KI-Modelle.“
Eine frühere Anfrage der Regulierungsbehörden an den EDPB nach Leitlinien zur Anwendung der DSGVO im Zusammenhang mit ChatGPT von OpenAI – einem konkurrierenden KI-Chatbot zu Grok von X – führte zu einem vorläufigen Bericht, der im Mai veröffentlicht wurde und entscheidende rechtliche Fragen wie die Rechtmäßigkeit und Fairness der Verarbeitung ungeklärt ließ.
Aktualisieren: *Tech hat nun eine Kopie der Vereinbarung zwischen X und dem DPC bezüglich Daten für das Training von KI erhalten. Hier ist sie im Wortlaut:
„Unbeschadet ihrer Position im Verfahren verpflichtet sich die Twitter International Unlimited Company, personenbezogene Daten, die in öffentlich zugänglichen Posts aus der EU/dem EWR enthalten sind, die von Nutzern aus der EU/dem EWR auf der Social-Media-Plattform ‚X‘ (der ‚Plattform‘) erstellt und/oder gepostet werden und/oder in Metadaten zu diesen Posts enthalten sind oder darin enthalten sind und die in Datensätzen enthalten sind, die zwischen dem 7. Mai 2024 und dem 1. August 2024 zum Zweck der Entwicklung, Schulung und/oder Verfeinerung des erweiterten Suchdienstes oder -tools der Plattform unter dem Namen ‚Grok‘ verwendet wurden, zu löschen und nicht für die vorgenannten Zwecke der Entwicklung, Schulung und/oder Verfeinerung von Grok zu verarbeiten (im Sinne von Artikel 4 (2) der DSGVO).“