Am 11. April 2025 hat die irische Datenschutzbehörde DPC eine Untersuchung gegen den Onlinedienst X eingeleitet, der von dem US-Milliardär Elon Musk betrieben wird. Der Grund für diese Ermittlungen ist die vermeintliche Verwendung personenbezogener Daten zum Trainieren von Künstlicher Intelligenz (KI). Insbesondere wird geprüft, ob die Daten europäischer Nutzer, die aus „öffentlich zugänglichen Beiträgen“ stammen, unrechtmäßig verwendet wurden. Der Dienst hat die gesammelten Daten hauptsächlich dazu genutzt, seinen Chatbot Grok weiterzuentwickeln, wie Tagesspiegel berichtet.
Im vergangenen Sommer hatte X bereits angekündigt, bestimmte Daten europäischer Nutzer nicht mehr für die KI-Entwicklung zu verwenden, was jedoch nicht ausreichte, um eine Klage der DPC vor dem irischen High Court zu verhindern, die schließlich fallen gelassen wurde. Die Behörde wird nun detailliert prüfen, ob X gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Dabei müssen Unternehmen, die als Anbieter von KI-Diensten agieren, rechtliche Rahmenbedingungen und Grundsätze beachten, um den Schutz personenbezogener Daten zu gewährleisten, wie auf Baden-Württemberg angegeben wird.
Hinweise zur Datenschutz-Grundverordnung
Die DSGVO schreibt vor, dass nur notwendige Daten verarbeitet werden sollten. Unternehmen sind verpflichtet, besonders darauf zu achten, dass die Verarbeitungstätigkeiten, auch solche mit KI, im Verzeichnis der Verarbeitungstätigkeiten dokumentiert und regelmäßig überprüft werden. Es wird darauf hingewiesen, dass eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, wenn eine Datenverarbeitung ein hohes Risiko für die Rechte der betroffenen Personen darstellt. Viele KI-Anwendungen gelten als hochriskant, sodass solche Bewertungen oft verpflichtend sind.
In diesem Kontext wird es für X entscheidend sein, ob die notwendigen Auftragsverarbeitungsverträge, die gemäß Art. 28 DSGVO gefordert werden, eingehalten wurden. Nur Dienstleister mit solchen Verträgen dürfen personenbezogene Daten verarbeiten, ohne dass ihre Nutzung für eigene Zwecke, wie beispielsweise das Training ihrer KI, erfolgt. Die DPC wird daher im Detail die Einhaltung dieser Richtlinien überprüfen, um sicherzustellen, dass keine Gesetze verletzt wurden.
Schutzmaßnahmen und Nutzerrechte
Die DPC wird auch untersuchen, ob geeignete Schutzmaßnahmen für die Übertragung von Daten in Drittstaaten getroffen wurden. Die Kontrolle des Zugriffs auf personenbezogene Daten ist essenziell, insbesondere gemäß dem Need-to-Know-Prinzip. Kunden und Nutzer müssen darüber informiert werden, wie ihre Daten verarbeitet werden, und die Datenschutzerklärungen müssen klar und verständlich formuliert sein. Die Verantwortung liegt dabei nicht nur bei der DPC, sondern auch bei den Unternehmen selbst, die interne Richtlinien entwickeln und ihre Mitarbeiter entsprechend schulen müssen, um einen verantwortungsvollen Umgang mit KI zu gewährleisten, wie Datenschutzkanzlei beschreibt.
