Social-Media-Plattform X mit neun Datenschutzbeschwerden konfrontiert
X wurde am Montag (12. August) mit neun Datenschutzbeschwerden aus ganz Europa konfrontiert. Nur wenige Tage zuvor hatte das Unternehmen angekündigt, die Verarbeitung personenbezogener Daten einiger EU-Nutzer zur Entwicklung künstlicher Intelligenz (KI) auszusetzen.
X wurde am Montag (12. August) mit neun Datenschutzbeschwerden aus ganz Europa konfrontiert. Nur wenige Tage zuvor hatte das Unternehmen angekündigt, die Verarbeitung personenbezogener Daten einiger EU-Nutzer zur Entwicklung künstlicher Intelligenz (KI) auszusetzen.
Am 6. August beantragte die irische Datenschutzkommission (DPC) vor Gericht, dass die Elon Musk gehörende Plattform die Verarbeitung personenbezogener Daten aus öffentlichen Posts von EU-Nutzern zum Training von Grok aussetzen oder einschränken soll. Zwei Tage später erklärte sich X bereit, die Verarbeitung solcher Daten, die zwischen dem 7. Mai und dem 1. August erhoben wurden, einzustellen, bis das Gericht über den Antrag der Datenschutzkommission entschieden hat.
Die irische Datenschutzkommission ist für die Überwachung der Einhaltung der EU-Datenschutzgrundverordnung (DSGVO) durch X zuständig, da sich der europäische Hauptsitz des Unternehmens in Dublin befindet. Grok wird von xAI, einem von Musk gegründeten Unternehmen, entwickelt. Es wird als Suchassistent für Premium-Accounts auf der Social-Media-Plattform verwendet.
Die Beschwerden wurden von der NGO für digitale Rechte Noyb in Belgien, Frankreich, Griechenland, Irland, Italien, den Niederlanden, Österreich, Polen und Spanien eingereicht. Noyb wurde von dem einflussreichen Datenschutzaktivisten und Anwalt Max Schrems gegründet.
Jedoch erklärte Noyb am Montag in einer Pressemitteilung, dass die Datenschutzkommission nicht zum Kern des Problems vorgedrungen sei, nämlich zur Rechtmäßigkeit der Verarbeitung selbst. Stattdessen habe sie sich mit den Abhilfemaßnahmen von X und der Zusammenarbeit mit den Behörden befasst.
Noyb reichte daher die Beschwerden ein, damit die Praktiken von X vollständig auf die Einhaltung der Datenschutzgrundverordnung untersucht werden. Noyb beantragte ein Dringlichkeitsverfahren, das eine Entscheidung des Europäischen Datenschutzausschusses (EDPB) beinhalten kann. Dieser überwacht die Anwendung der Datenschutzgrundverordnung in der gesamten EU.
Noyb argumentierte, dass X gegen die Grundsätze der Datenschutzgrundverordnung sowie gegen Transparenz- und Betriebsvorschriften verstoßen habe.
Die Gruppe stellt auch infrage, wie der Plan von X umgesetzt werden kann. Das Unternehmen habe nicht geklärt, was mit EU-Daten geschieht, die bereits von den KI-Systemen verarbeitet wurden, und wie es zwischen Daten aus der EU und außerhalb der EU trennt.
Fragen rund um die Datenschutzkommission
Die Erfolgsbilanz der irischen Datenschutzkommission bei der Durchsetzung der Datenschutzgrundverordnung wurde in den letzten Jahren von Verfechtern digitaler Rechte infrage gestellt.
„Wir haben in den vergangenen Jahren zahllose Fälle gesehen, in denen die Datenschutzkommission ineffizient und unvollständig gehandelt hat“, teilte der Vorsitzende und Gründer von Noyb, Schrems, in der Pressemitteilung mit.
Beobachter haben die Klage der Datenschutzkommission gegen X als Zeichen dafür gewertet, dass die Behörde, die seit Februar unter neuer Führung steht, einen neuen Kurs einschlägt. Dies sei das erste Mal, dass eine führende Datenschutzbehörde eine gerichtliche Anordnung zur Aussetzung der Datenverarbeitung eines Unternehmens beantragt habe, so die Datenschutzkommission.
Aber Noyb ist nicht überzeugt. Die NGO für digitale Rechte vertritt die Ansicht, dass die Einbeziehung weiterer Datenschutzbehörden die Datenschutzkommission unter Druck setzen werde, den Fall zu Ende zu führen, und dass X die Datenschutzgrundverordnung tatsächlich einhalten werde.
Zustimmung
Die Datenschutzkommission umgehe das Kernproblem, dass X die Nutzer nicht einmal ordnungsgemäß um ihre Zustimmung zu dieser Art der Datenverarbeitung gebeten habe, so die NGO.
X änderte seine Datenschutzrichtlinie im September 2023, um die Datenverarbeitung für das Training von KI zu nutzen.
Die Verarbeitung der Daten von EU-Nutzern für das Training von Grok begann am 7. Mai, ohne dass den Nutzern die Möglichkeit gegeben wurde, ihre Zustimmung zu verweigern, sagte der mit dem Fall befasste Richter laut dem Irish Examiner.
Dieser Schritt wurde unternommen, ohne die Risiken zu mindern, die zuvor in der eigenen, nach EU-Recht vorgeschriebenen Risikobewertung von X aufgedeckt worden waren, schrieb Johnny Ryan, Director of Enforce beim Irischen Rat für bürgerliche Freiheiten, in einem Beitrag auf LinkedIn.
Es sei unklar, wann die Datenschutzkommission davon erfahren habe, aber die Behörde und das Unternehmen hätten im Juli Gespräche geführt, fuhr er fort.
Laut Ryan habe X eine „erweiterte“ Abmilderung vorgeschlagen, die ab dem 16. Juli 2024 gelten würde. Ryan und dem Irish Examiner zufolge sei dies nicht auf alle Nutzer ausgeweitet worden.
Die Nutzer von X hätten erst durch einen viralen Beitrag am 26. Juli erfahren, dass ihre Daten aktiv für das Training von KI verarbeitet würden, erklärte Noyb.
[Bearbeitet von Chris Powers/Kjeld Neubert]
