Datenschutzbeschwerden gegen X wegen Training mit Nutzerdaten
Die Online-Plattform X (ehemals Twitter) trainiert eine sogenannte Künstliche Intelligenz (KI) mit Nutzerdaten. Weil Nutzerinnen und Nutzer vorab nicht einmal darüber informiert wurden, hat die österreichische Organisation Noyb nun Datenschutzbeschwerden in neun europäischen Ländern eingelegt.
X bietet mit Grok einen eigenen Chat-Bot für zahlende Nutzerinnen und Nutzer an, der von der Firma xAI entwickelt wird. Um dem System Sprachkenntnisse beizubringen, wird die Software mit großen Mengen Daten “trainiert” – beispielsweise Beiträgen von menschlichen Nutzern.
Noyb kritisiert nun, X habe bereits im Mai begonnen, die Daten europäischer Nutzerinnen und Nutzer “unwiderruflich” in Grok einzuspeisen. Dabei habe die Plattform nicht, wie von der Datenschutzgrundverordnung (DSGVO) vorgeschrieben, um ihre Einwilligung in die Datenverarbeitung gefragt – und nicht einmal darüber informiert.
Die meisten Nutzerinnen und Nutzer hätten erst Ende Juli durch den Beitrag eines X-Nutzers von der Datenverarbeitung erfahren. Dieser hatte auf eine neue Standardeinstellung hingewiesen, die der Plattform erlaubt, Nutzerdaten für “Training und Feinabstimmung” zu verwenden.
“Einfach eine Ja/Nein-Frage stellen”
Noyb erklärte, für die Verarbeitung personenbezogener Daten benötige es eine in der DSGVO verankerte Rechtsgrundlage. Statt sich aber auf eine Einwilligung der Nutzer zu stützen, mache X ein “berechtigtes Interesse” geltend. Der Europäische Gerichtshof habe diesen Ansatz aber bereits in einem Fall zurückgewiesen, in dem es um die Verwendung personenbezogener Daten für gezielte Werbung durch Meta ging.
Max Schrems, Vorsitzender von Noyb, sagte: “Unternehmen, die direkt mit den Nutzern interagieren, müssen ihnen einfach eine Ja/Nein-Frage stellen, bevor sie ihre Daten verwenden. Sie tun dies regelmäßig für viele andere Dinge, also wäre es definitiv auch für das KI-Training möglich.”
Auch gegen weitere DSGVO-Bestimmungen hat X aus Sicht von Noyb verstoßen. Die NGO hat daher nun neun Beschwerden bei den nationalen Datenschutzbehörden in Belgien, Frankreich, Griechenland, Irland, Italien, den Niederlanden, Österreich, Polen und Spanien eingereicht.
X vor Gericht
Bereits in der vergangenen Woche war bekannt geworden, dass die irische Datenschutzbehörde DPC juristische Schritte gegen X eingeleitet hat. Weil das Unternehmen seinen europäischen Hauptsitz in Irland hat, ist die dortige Behörde zuständig.
X hatte sich daraufhin bereit erklärt, die Verarbeitung von “personenbezogenen Daten aus öffentlichen Beiträgen der EU-/EWR-Nutzer von X” auszusetzen.
Laut Noyb ist bei einer Gerichtsanhörung in der vergangenen Woche jedoch deutlich geworden, dass es der Behörde hauptsächlich um sogenannte “Risiko-Eindämmungs-Maßnahmen” geht. Die DPC scheine sich jedoch nicht um die Kernfrage der fehlenden Einwilligung zu kümmern.
Schrems erklärte: “Die Gerichtsdokumente sind nicht öffentlich, aber aus der mündlichen Anhörung geht hervor, dass die Datenschutzbehörde nicht die Rechtmäßigkeit dieser Verarbeitung selbst in Frage gestellt hat. Es scheint, dass die DPC sich mit einer sogenannten ‘Risiko-Eindämmung’ zufriedengibt und eher die mangelnde Kooperation von Twitter kritisiert. Die Behörde scheint nur Randthemen anzugehen, scheut aber vor dem Kernproblem zurück.”
Nach Ansicht von Noyb blieben während der Verhandlung viele Fragen unbeantwortet. Die von der NGO nun eingereichten Beschwerden sollen dazu führen, dass die “zentralen rechtlichen Probleme im Zusammenhang mit Twitters KI-Training vollständig gelöst werden”. Je mehr EU-Datenschutzbehörden sich an dem Verfahren beteiligten, desto größer werde auch der Druck auf die irische DPC und auf X.
Angesichts der Tatsache, dass die Datenverarbeitung bereits begonnen habe, hat Noyb ein sogenanntes Dringlichkeitsverfahren beantragt. Das ermächtige Behörden beispielsweise, vorläufige Maßnahmen zu treffen.
Opt-out möglich
Nutzerinnen und Nutzer, die der Verwendung ihrer Daten für das Training der Algorithmen widersprechen wollen, können in den X-Einstellungen den Haken beim Punkt “Erlauben, dass deine Posts sowie deine Interaktionen, Eingaben und Ergebnisse bei Grok für Training und Feinabstimmung herangezogen werden” entfernen.
Der Facebook-Konzern Meta hatte ebenfalls geplant, Nutzerdaten zum Training von Algorithmen zu verwenden. In diesem Fall wurden Nutzerinnen und Nutzer über den Schritt informiert – statt um Einwilligung zu bitten, wurden sie jedoch nur auf ihr Widerspruchsrecht hingewiesen.
Noyb hatte deshalb elf Beschwerden bei nationalen Datenschutzbehörden eingereicht. Und auch Verbraucherschützer hatten Meta abgemahnt.
Im Juni hatte Meta schließlich mitgeteilt, in der EU vorerst keine Inhalte seiner Nutzerinnen und Nutzer zum maschinellen Lernen zu verwenden. (dpa / js)