Der Twitter-Nachfolger X hat sich bereit erklärt, die Verarbeitung personenbezogener Daten zum Zwecke des Trainings seines KI-Chatbots Grok auszusetzen. Dies geschieht, nachdem die irische Datenschutzbehörde beim High Court, dem obersten Zivil- und Strafgericht Irlands, ein Beschwerdeverfahren gegen X eingeleitet hatte. Es ist das erste Mal, dass die Behörde von dieser besonderen Befugnis aus dem Irish Data Protection Act 2018 (vergleichbar mit dem deutschen BDSG) Gebrauch gemacht hat.
Nach Abschnitt 134 des Data Protection Act 2018 kann die irische Datenschutzbehörde, bei dringendem Handlungsbedarf zum Schutz der Rechte und Freiheiten betroffener Personen, eine Verfügung beim High Court beantragen. Dadurch können die für die Verarbeitung Verantwortlichen verpflichtet werden, die Verarbeitung personenbezogener Daten auszusetzen, einzuschränken oder zu untersagen.
Beschwerde durch Verbraucherrechtsorganisationen
Das Verfahren geht auf eine Beschwerde zurück, die die Verbraucherrechtsorganisationen Euroconsumers und Altroconsumo im Namen von Betroffenen aus der EU/dem EWR bei der irischen Datenschutzbehörde eingereicht hatten. Die Beschwerdeführer machten geltend, dass der Grok-Chatbot mit Nutzerdaten in einer Weise trainiert worden sei, die den Zweck der Datenverarbeitung nicht ausreichend erkläre, und dass mehr Daten als erforderlich erhoben worden seien. Sie argumentierten ferner, dass X möglicherweise sensible Daten ohne Rechtsgrundlage verarbeitet habe.
Ein wesentlicher Punkt der Beschwerde war, dass X die gemeinsame Nutzung von Daten für Nutzer innerhalb der EU/des EWR automatisch aktivierte. Später wurde diese Praxis durch eine „Opt-out“-Einstellung abgeschwächt. X machte geltend, dass man sich auf die Rechtsgrundlage des berechtigten Interesses berufen habe. Die Beschwerdeführer argumentierten jedoch, dass die Datenschutzrichtlinie von X nicht hinreichend deutlich mache, welches Interesse an der Verarbeitung von Nutzerdaten zum Zwecke des Trainings von KI-Modellen wie Grok bestehe.
Auch Meta stellte die Datenverarbeitung zu KI-Trainingszwecken ein
Diese Entwicklung folgt auf eine ähnliche Kette von Ereignissen bei Meta im Juni (wir berichteten). Die Datenschutzorganisation noyb hatte kritisiert, dass sich Meta bei der Verwendung von personenbezogenen Daten für das Training von KI-Modellen auf ein berechtigtes Interesse berief. Dies führte zu einer Auseinandersetzung zwischen Meta und der irischen Datenschutzbehörde und schließlich im Juni zur Entscheidung von Meta, die entsprechende Verarbeitung einzustellen.
Verstärkte KI-Regulierung durch Datenschutzbehörden
Die Ereignisse der letzten Monate zeigen deutlich, dass die Datenschutzbehörden bestrebt sind, die datenschutzrechtlichen Grundsätze der Rechtmäßigkeit, der Fairness und der Transparenz auch beim Einsatz von KI-Systemen durchzusetzen.
Auch in Deutschland zeigen die Datenschutzbehörden ein gesteigertes Interesse an der Schnittstelle von Datenschutz und KI-Systemen. Dies zeigt nicht zuletzt das kürzlich von der Hamburger Datenschutzbehörde veröffentlichte Diskussionspapier zu Large Language Models.
Die Tatsache, dass ein Großteil der öffentlichkeitswirksamen Aktivitäten im Zusammenhang mit der Regulierung von KI aus dem Bereich des Datenschutzes kommt, untermauert die Stellungnahme des Europäischen Datenschutzausschusses (EDSA). Darin vertritt der EDSA die Ansicht, dass Datenschutzbehörden am besten in der Lage sind, Hochrisiko-KI-Systeme zu regulieren.
Fazit
Mit der zunehmenden Integration leistungsfähiger KI-Modelle in bestehende Dienste durch große Technologiekonzerne dürfte die Kontrolle und Aktivität der Behörden weiter zunehmen. In solchen Fällen ist eine solide Rechtsgrundlage für die Datenverarbeitung von entscheidender Bedeutung, da es unter Umständen schwierig ist, sich allein auf das berechtigte Interesse zu stützen. Es ist zu erwarten, dass die Datenschutzbehörden Untersuchungen einleiten werden und rigoros eingreifen, wenn die Rechte der betroffenen Personen gefährdet sind. Möglicherweise in Erwartung weiterer grenzüberschreitender Durchsetzungsmaßnahmen in diesem Bereich hat die Europäische Kommission im vergangenen Monat neue Regeln zur Straffung der Zusammenarbeit zwischen den Datenschutzbehörden bei der Durchsetzung der Datenschutz-Grundverordnung vorgeschlagen.
Eine der wichtigsten Lehren aus diesen Entwicklungen ist, dass im neuen Zeitalter der Künstlichen Intelligenz der Gewährleistung einer soliden Rechtsgrundlage für jede Form der Datenverarbeitung und der Einhaltung der Grundsätze der Fairness und Transparenz höchste Priorität eingeräumt werden muss. Insbesondere die Datenschutzbehörden werden bei der Überprüfung der Einhaltung dieser Anforderungen besonders wachsam sein.