X soll KI mit illegal gesammelten europäischen Daten trainieren
Datenschutzaktivist:innen haben in acht EU-Ländern, darunter Österreich, Beschwerden gegen den Kurzmitteilungsdienst X eingereicht. Das Unternehmen soll persönliche Daten von Nutzer:innen ohne deren Einwilligung zur Entwicklung seiner KI verwendet haben.
Die Datenschutz-NGO None Of Your Business (NOYB) rund um Max Schrems fordert nun ein schnelles Eingreifen der Behörden, um das europäische Datenschutzrecht durchzusetzen.
Daten von über 60 Millionen Nutzer:innen
Laut NOYB verwendet X die personenbezogenen Daten von über 60 Millionen Nutzer:innen im europäischen Wirtschaftsraum, um das Sprachmodell Grok zu trainieren. Dies geschieht, ohne dass die Nutzer:innen im Voraus informiert wurden oder die Möglichkeit hatten, ihre Zustimmung zu geben.Erst im Juni hatte die Facebook-Mutter Meta angekündigt, ihr KI-Training in der EU aufgrund ähnlicher Beschwerden vorerst auszusetzen.
Nachdem X zugestimmt hat, einen Teil der bereits gesammelten Daten nicht für das KI-Training zu nutzen, konzentriert sich die Klage der zuständigen irischen Datenschutzbehörde (DPC) laut NOYB nun offenbar nur noch auf Formalitäten. Schrems kritisierte in einer öffentlichen Stellungnahme: „Wir haben in den letzten Jahren endlose halbe Maßnahmen der Datenschutzbehörde erlebt. Wir wollen sicherstellen, dass Twitter das EU-Recht vollständig einhält, das verlangt als absolutes Minimum, die Nutzer in diesem Fall um ihre Zustimmung zu bitten.“ Die einfachste Lösung sei, die Nutzer:innen zu fragen und X die Daten quasi zu spenden.
Anstatt die Nutzer:innen direkt um ihre Zustimmung zu bitten, argumentiert X, ähnlich wie Meta, dass es ein „berechtigtes Interesse“ habe, das über den Grundrechten der Nutzer:innen stehe. Dieser Ansatz wurde jedoch bereits vom Europäischen Gerichtshof abgelehnt, als es um die Verwendung personenbezogener Daten für gezielte Werbung durch Meta ging. Nach Informationen der Datenschutz-NGO hat die irische Datenschutzbehörde in den vergangenen Monaten offenbar in einem Konsultationsverfahren über diesen Ansatz des „berechtigten Interesses“ verhandelt.
Twitter just activated a setting by default for everyone that gives them the right to use your data to train grok. They never announced it. You can disable this using the web but it’s hidden. You can’t disable using the mobile app
Direct link: https://t.co/lvinBlQoHC pic.twitter.com/LqiO0tyvZG
— Kimmy Bestie of Bunzy, Co-CEO Execubetch™️ (@EasyBakedOven) July 26, 2024
Kritik an der irischen Datenschutzbehörde
Die irische Datenschutzbehörde gilt als relativ unternehmerfreundlich und hatte in der Vergangenheit recht zögerlich auf Datenschutzverstöße großer Technologiekonzerne reagiert. Trotzdem wurde nun ein Gerichtsverfahren gegen X eingeleitet. Ziel ist es, die Verarbeitung personenbezogener Daten zu stoppen und das Unternehmen zur Einhaltung der Datenschutzgrundverordnung (DSGVO) zu zwingen.
Neue Google-Datenschutzrichtlinien: Die KI darf künftig mit unserem Content lernen
Max Schrems äußerte sich enttäuscht über das Vorgehen der DPC. Er kritisierte, dass die Behörde das Kernproblem – die fehlende Einwilligung der Nutzer:innen – nicht hinterfrage, sondern sich nur auf Abmilderungsmaßnahmen konzentriere. NOYB hat deshalb in acht weiteren Ländern DSGVO-Beschwerden eingereicht.
Dringlichkeitsverfahren in acht Ländern
Schwere Verstöße gegen die DSGVO können ein Dringlichkeitsverfahren auslösen. Da Twitter bereits personenbezogene Daten für seine KI nutzt und diese nicht mehr gelöscht werden können, hat NOYB ein solches Verfahren beantragt. Datenschutzbehörden in acht EU-Ländern haben im Namen der Betroffenen Anträge erhalten. Dieses Verfahren könnte eine EU-weite Entscheidung ermöglichen, die die irische Behörde überstimmen könnte – was bereits zweimal geschehen ist.
Sollte X gezwungen werden, das Training seiner KI-Modelle mit europäischen Nutzer:innendaten einzustellen, stünde das Unternehmen vor ähnlichen Herausforderungen wie zuvor Meta. Die endgültige Entscheidung der irischen Datenschutzbehörde wird mit Spannung erwartet. Datenschützer:innen wie Schrems hoffen, dass dieses Verfahren ein klares Signal an alle Technologiekonzerne sendet, die DSGVO ernst zu nehmen.