X klaut Nutzerdaten für KI

Längst haben große Digitalkonzerne wie Meta, Microsoft und Google auch bei künstlicher Intelligenz (KI) die Nase vorn. Kein Wunder, schließlich verfügen sie in gigantischem Ausmaß über jene Ressourcen, die es für erfolgreiche KI-Trainings braucht: Rechenleistung und Datensätze. Nun will die X Corporation, der Betreiber des Kurznachrichtendienstes X (vormals Twitter), offenbar nachziehen – und leistet sich dabei schwerwiegende Verstöße gegen die Datenschutzgrundverordnung der EU (DSGVO).

So hat der Konzern von Elon Musk kürzlich begonnen, persönliche Daten seiner Nutzer zu verwenden, um das hauseigene KI-System »Grok« zu entwickeln, darunter auch Daten der 60 Millionen Nutzer in der EU. Doch genau das ist laut DSGVO verboten. Der Rechtsbruch ist so offensichtlich, dass sogar die für ihre Konzernfreundlichkeit berüchtigte Datenschutzbehörde Irlands (DPC) aktiv wurde und vergangene Woche ein Verfahren einleitete. Gleich beim ersten Gerichtstermin wurde jedoch deutlich, dass sich X nicht umsonst für Irland als EU-Hauptsitz entschieden hat: Die DPC will das Unternehmen mit der Umsetzung einiger Maßnahmen zur Risikoeindämmung davonkommen lassen und bemängelt ansonsten vor allem, dass X mit dem KI-Training begann, während dazu noch eine Konsultation mit der Behörde lief.

Scharfe Kritik an dieser Herangehensweise kam am Montag von der österreichischen Datenschutz-NGO »Non of your Business« (NOYB, etwa: »geht dich nichts an«). »Die Gerichtsdokumente sind nicht öffentlich, aber aus der mündlichen Anhörung geht hervor, dass die Datenschutzbehörde nicht die Rechtmäßigkeit dieser Verarbeitung selbst in Frage gestellt hat«, sagte der Vorsitzende des Vereins, Maximilian Schrems. »Die Behörde scheint nur Randthemen anzugehen, scheut aber vor dem Kernproblem zurück.« Um eine umfassende Untersuchung in die Wege zu leiten, habe man bei den Datenschutzbehörden von neun EU-Staaten Beschwerde eingelegt.

Diesen Ärger hätte sich die X Corporation ersparen können, denn die DSGVO beinhaltet sechs Ausnahmen, um das Verbot der Verarbeitung persönlicher Daten auszuhebeln. Der einfachste Weg wäre gewesen, die Nutzer um Einwilligung zu bitten. »Unternehmen, die direkt mit den Nutzer:innen interagieren, müssen ihnen vor der Datenverwendung einfach eine Ja/Nein-Frage stellen. Sie tun dies regelmäßig für viele andere Dinge, also wäre es definitiv auch für das KI-Training möglich«, sagt Schrems. Selbst wenn nur ein geringer Teil der 60 Millionen EU-Nutzer zugestimmt hätte, wäre ein Datensatz zustande genommen, mit dem ein großes KI-Modell problemlos hätte trainiert werden können.

Nicht praktikabel ist hingegen der Ausnahmetatbestand, für den sich das X-Management entschieden hat, nämlich ein »berechtigtes Interesse« an der Datennutzung, welches über den Grundrechten der Nutzer steht. Es ist wohl eher eine grundsätzliche Haltungsfrage, die eigenen Kunden nicht um die Erlaubnis zur Nutzung ihrer Daten bitten zu wollen. Dass der gewählte Weg nicht funktioniert, hätte man wissen können. Schließlich hat Konkurrent Meta erst im Juni das KI-Training mit Daten von Nutzern aus der EU abgeblasen. Auch der Facebook-Mutterkonzern war mit dem Versuch gescheitert, sich auf ein »berechtigtes Interesse« an der Datenverarbeitung zu berufen und so die Frage nach der Einwilligung zu umgehen.

Derzeit ist das KI-Training mit Daten aus der EU bei X auf Basis einer Vereinbarung mit der irischen Behörde bis September unterbrochen. Damit es nicht ohne Einwilligung der Nutzer wieder aufgenommen wird, setzt NOYB auf Dringlichkeitsverfahren. Entsprechende Anträge im Namen betroffener Personen seien den Datenschutzbehörden Österreichs, Belgiens, Frankreichs, Griechenlands, Irlands, Italiens, der Niederlande, Polens und Spaniens zugegangen. Die DSGVO erlaubt es den nationalen Datenschutzbehörden, in solchen Fällen vorläufige Maßnahmen zu ergreifen. Zudem soll der EU-Datenschutzausschuss mit dem Fall befasst werden. Dort wurden schon mehrfach fragwürdige Entscheidungen der DPC von den Behörden der anderen EU-Staaten gekippt.