X in der Kritik: Datenschutzbeschwerde wegen KI-Training

Verbraucherorganisationen werfen dem Programm für künstliche Intelligenz (KI) von X vor, gegen die Datenschutz-Grundverordnung (DSGVO) zu verstoßen. Am Montag (5. August) hatten sie bei der irischen Datenschutzkommission (DPC) Beschwerde eingereicht.

Nach Meta und LinkedIn ist dies der dritte Internetgigant, gegen den eine Datenschutzbeschwerde wegen der Verwendung von Nutzerdaten zum Training von KI-Modellen eingereicht wurde.

X wird vorgeworfen, mehrfach gegen die wegweisende EU-Datenschutzverordnung verstoßen zu haben. Die förmliche Beschwerde wurde im Namen von Rechtsanwalt Marco Scialdone für die Verbraucherschutzorganisation Euroconsumers und Altroconsumo eingereicht.

Scialdone ist Rechtsanwalt und Professor für Recht und Management digitaler Inhalte und Dienste an der Europäischen Universität Rom. Euroconsumers ist eine europäische Dachorganisation für Verbraucher, die mehrere nationale Verbrauchergruppen vertritt. Altroconsumo ist ein italienischer Verbraucherverband und Mitglied von Euroconsumers.

X-Nutzer bemerkten Ende Juli, dass die gemeinsame Nutzung von Daten für das Training eines generativen KI-Chatbots, Grok, automatisch eingeschaltet wurde. Grok wurde von xAI entwickelt, einem vom X-Eigentümer Elon Musk gegründeten Unternehmen, und wird als Suchassistent in X verwendet.

Zum Zeitpunkt der Veröffentlichung reagierte X nicht auf Euractivs Anfrage nach einem Kommentar zu der Beschwerde.

In der Beschwerde wird X vorgeworfen, nicht klar zu erklären, wie es Daten für das KI-Training verwendet. Es wird argumentiert, dass X mehr Daten als nötig sammelt und möglicherweise sensible Daten ohne ausreichende Begründung verarbeitet.

Scialdone forderte daher den irischen Datenschutzbeauftragten in der Beschwerde auf, X zu verwarnen. Außerdem soll er das Unternehmen auffordern, die Verwendung personenbezogener Daten für ihre künstliche Intelligenz einzustellen und sicherzustellen, dass das Unternehmen die Datenschutz-Grundverordnung einhält.

Da die EU-Geschäfte von X in Dublin angesiedelt sind, ist die irische Behörde für die Überwachung der Einhaltung der DSGVO zuständig.

Ähnliche Beschwerden gegen Meta wurden Anfang Juni von der gemeinnützigen Organisation für digitale Rechte Noyb eingereicht. Nur wenige Tage später zog Meta seine KI-Funktionen aus der EU zurück und berief sich dabei auf eine Aufforderung der irischen Datenschutzbehörde.

Die X-Beschwerde

In der Beschwerde beanstandet Scialdone, dass diese Verwendung von Daten nicht klar kommuniziert oder begründet wird. Er argumentiert, dass die Datenschutzrichtlinie von X die Rechtsgrundlage für die Verwendung personenbezogener Daten zum Trainieren von KI-Modellen nicht transparent erläutert. Die Rechtsgrundlage für eine solche Verarbeitung wird nur in einem sekundären Link erwähnt, was seiner Meinung nach für die Nutzer nicht sofort ersichtlich ist.

In der neusten Datenschutzrichtlinie von X, von September 2023, heißt es, dass das Unternehmen „die von uns gesammelten und öffentlich zugänglichen Informationen verwenden kann, um KI-Modelle für die in dieser Richtlinie beschriebenen Zwecke zu trainieren.“

Für die Verarbeitung personenbezogener Daten zum Trainieren von KI-Modellen nutzt X die Rechtsgrundlage namens „berechtigtes Interesse“ gemäß der DSGVO. Das bedeutet, dass die Plattform die Daten verwenden kann, wenn sie für einen gültigen Zweck erforderlich sind, solange sie nicht die Rechte der Nutzer verletzen.

Scialdone erwähnte auch Probleme wie das Versäumnis von X, auf seine Anfrage zum Stoppen der Datenverarbeitung für KI, zu reagieren. Ebenso seien Schwierigkeiten bei der Einreichung des Antrags und eine unzureichende Kommunikation über das Verfahren aufgetreten.

Der rote Faden

Scialdone und Euroconsumers reichten letzten Monat eine ähnliche Beschwerde über die KI-Praktiken von LinkedIn bei der italienischen Datenschutzbehörde und der Datenschutzkommission ein.

Die Beschwerden von X und LinkedIn  „zeigen einen gemeinsamen Trend unter den VLOPs [sehr großen Online-Plattformen und Suchmaschinen] in Bezug auf die Verwendung der persönlichen Daten der Nutzer für das Training von Systemen der künstlichen Intelligenz“, sagte Scialdone gegenüber Euractiv.

VLOPs werden in der EU-Verordnung zur Inhaltsmoderation, dem Gesetz über digitale Dienste (DSA), beschrieben. Dabei handelt es sich um große Social-Media-Seiten wie Instagram und X. Sie müssen gemäß dem Gesetz strenge Anforderungen erfüllen.

Scialdone hofft, mit seiner Klage ein „einheitliches Vorgehen der Datenschutzbehörden zu erreichen; andernfalls besteht neben der unterschiedlichen Behandlung der Nutzer je nach Plattform auch die Gefahr, dass Marktungleichheiten entstehen.“

[Bearbeitet von Eliza Gkritsi/Rajnish Singh/Kjeld Neubert]