Trotz Stopp: Offene Fragen zur KI-Datenverarbeitung durch X
Das Gerichtsverfahren der irischen Datenschutzkommission (DPC) gegen die Social-Media-Plattform X wurde eingestellt. Allerdings bleiben Fragen zu den Datenpraktiken des Unternehmens im Bereich der künstlichen Intelligenz (KI) und zur Einhaltung der EU-Datenschutzvorschriften bestehen.
Das Gerichtsverfahren der irischen Datenschutzkommission (DPC) gegen die Social-Media-Plattform X wurde eingestellt. Allerdings bleiben Fragen zu den Datenpraktiken des Unternehmens im Bereich der künstlichen Intelligenz (KI) und zur Einhaltung der EU-Datenschutzvorschriften bestehen.
Das Gerichtsverfahren der irischen Datenschutzkommission gegen X endete am 4. September, nachdem das Unternehmen zugestimmt hatte, die Verarbeitung einiger personenbezogener Daten zum Training seines KI-Tools Grok dauerhaft einzustellen. Das von Musks Unternehmen xAI entwickelte Tool wird als Suchassistent für Premium-Accounts verwendet.
Die irische Datenschutzkommission hatte vor dem irischen Obersten Gericht Klage gegen X wegen vermeintlicher Verstöße gegen die Allgemeine Datenschutzgrundverordnung (DSGVO) der EU eingereicht. Sie forderte, dass X die Verarbeitung von Nutzerdaten für das KI-Training einstellt oder einschränkt.
Die Vereinbarung geht jedoch nicht vollständig darauf ein, wie die Maßnahmen umgesetzt werden sollen.
„Die Datenschutzkommission hat das Kernproblem nicht wirklich infrage gestellt, nämlich die Tatsache, dass all diese personenbezogenen Daten ohne die Zustimmung der Nutzer erfasst wurden“, erklärte Max Schrems, Vorsitzender der NGO Noyb – European Center for Digital Rights. Noyb reichte im August neun Datenschutzbeschwerden gegen X ein, nachdem eine vorläufige Vereinbarung zwischen X und der Datenschutzkommission getroffen wurde, die Verarbeitung einiger EU-Nutzerdaten zu stoppen.
Die Datenschutzkommission teilte Euractiv mit, dass sie die Beschwerden über X erhalten habe. Sie werde die Einhaltung der Datenschutzgrundverordnung überprüfen und bei Bedarf Korrekturmaßnahmen festlegen.
Ein Pressesprecher des Europäischen Datenschutzausschusses (EDSA) bestätigte letzte Woche gegenüber Euractiv, dass sie die Anfrage der irischen Datenschutzkommission nach einer Stellungnahme erhalten haben.
X reagierte nicht auf Anfragen von Euractiv.
Irische Datenschutzkommission nimmt Klage gegen Musks X zurück
Das Verfahren der irischen Datenschutzkommission (DPC) gegen die Social-Media-Plattform X ist seit Mittwoch (4. September)…
3 Minuten
Verantwortlicher und Ausführender der Datenverarbeitung
Eine zentrale Frage ist, welches Unternehmen die Daten verarbeitet und ob die Vereinbarung der in Irland ansässigen Twitter Unlimited International Company (TUIC), bestimmte Datensätze nicht zu verwenden, ausreicht. Das andere beteiligte Unternehmen ist laut den Nutzungsbedingungen von Grok die in den USA ansässige xAI Corp.
Nach der Datenschutzgrundverordnung hängen die Rollen des für die Datenverarbeitung Verantwortlichen und des Ausführenden davon ab, wer den Zweck und die Mittel der Datenverarbeitung bestimmt und wer sie durchführt.
Twitter Unlimited International Company, die in dem Gerichtsverfahren mit der irischen Datenschutzkommission die andere Partei war, könnte die für die Datenverarbeitung Verantwortliche sein, wenn sie entscheidet, wie die Daten verwendet werden. Umgekehrt könnte xAI Corp. die Ausführende sein, wenn sie die Daten für Twitter Unlimited International Company verarbeitet. Wenn sowohl Twitter Unlimited International Company als auch xAI Corp. Entscheidungen über die Daten treffen, könnten sie gemeinsam die für die Verarbeitung Verantwortlichen sein.
Wenn sowohl Twitter Unlimited International Company als auch xAI Corp. für die Verarbeitung der Daten verantwortlich sind, wäre ein Stopp der Datenverarbeitung durch Twitter Unlimited International Company allein nicht wirksam, erklärte Danny Mekić, Doktorand an der Universität Leiden.
Mekić wurde von X gesperrt, weil er die Microtargeting-Praktiken der Europäischen Kommission aufgedeckt und später ein Gerichtsverfahren gegen X wegen Verstößen gegen die Datenschutzgrundverordnung und das Gesetz über digitale Dienste (DSA) gewonnen hatte. Er sagte, dass die Rollen beider Unternehmen thematisiert werden müssen, um die vollständige Einhaltung der Vorschriften sicherzustellen.
Die Datenschutzkommission erklärte jedoch, es sei „nicht notwendig, dass die Datenschutzkommission [diese Frage] untersucht.“
Die Behörde konzentriere sich auf Twitter Unlimited International Company als den für die Datenverarbeitung Verantwortlichen, um Risiken für die Rechte der betroffenen Personen zu beseitigen. Es gehe nicht darum, die Firma zu bestrafen oder Verstöße förmlich nachzuweisen, erklärte die Datenschutzkommission.
Löschung von Daten
X hat nicht klargestellt, wie es die Verarbeitung der Daten beenden wird. Angesichts der Komplexität von großen Sprachmodellen ist dies eine Herausforderung.
Die Vereinbarung betrifft Daten, die zwischen dem 7. Mai und dem 1. August von Nutzern in der EU und dem Europäischen Wirtschaftsraum erhoben wurden.
Die in die Verpflichtung einbezogenen Datensätze seien gelöscht worden und könnten nicht mehr verarbeitet werden, teilte die Datenschutzkommission mit.
Allerdings „löscht die Löschung der Daten nicht ihren Abdruck in den trainierten KI-Modellen“, schrieb Marco Scialdone, Anwalt und außerordentlicher Professor an der Europäischen Universität Rom, in einem Beitrag auf LinkedIn.
Scialdone, der im Namen von Verbraucherorganisationen eine Datenschutzbeschwerde gegen X vor dem Gericht der irischen Datenschutzkommission eingereicht hat, plädierte für eine „algorithmische Entschädigung.“ Dies bedeutet, dass KI-Modelle, die von den gelöschten Daten beeinflusst wurden, neu trainiert oder gelöscht werden müssen.
Nutzerdaten für KI-Training: Irische Datenschutzkommission verklagt X
Die irische Datenschutzkommission (DPC) hat am Dienstag (6. August) ein Gerichtsverfahren gegen die Social-Media-Plattform X…
3 Minuten
Rechtsgrundlage
Dieser Fall wirft auch Fragen zur Rechtsgrundlage des „berechtigten Interesses“ der Datenverarbeitung durch X auf, ähnlich wie das KI-Training von Meta, das die Daten von EU-Nutzern verwendet.
Die Rechtsgrundlage des „berechtigten Interesses“ erlaubt es Unternehmen, Daten ohne ausdrückliche Zustimmung zu verarbeiten, sofern sie nicht die Datenschutzrechte der Nutzer außer Kraft setzt. Ihre Angemessenheit in diesem Zusammenhang bleibt jedoch fraglich.
Schrems erklärte, die Datenschutzkommission habe die Rechtmäßigkeit der Datenverarbeitung selbst nicht infrage gestellt. Stattdessen habe man sich auf Abhilfemaßnahmen konzentriert, wie die Einstellung der weiteren Datenverarbeitung und die Kooperation von X.
„Die Datenschutzkommission scheint Maßnahmen am Rande zu ergreifen, schreckt aber vor dem Kernproblem zurück“, sagte der Aktivist.
Social-Media-Plattform X mit neun Datenschutzbeschwerden konfrontiert
X wurde am Montag (12. August) mit neun Datenschutzbeschwerden aus ganz Europa konfrontiert. Nur wenige…
4 Minuten
*Théophane Hartmann hat zur Berichterstattung beigetragen
[Bearbeitet von Eliza Gkritsi/Martina Monti/Kjeld Neubert]
