Untersuchung gegen Elon Musks X: Verstößt der KI-Dienst gegen Datenschutz?

Irland, Land - Die irische Datenschutzbehörde DPC hat eine Untersuchung gegen den Onlinedienst X eingeleitet, der im Besitz des US-Milliardärs Elon Musk ist. Der Hauptgrund für diese Untersuchung ist die angebliche Verwendung personenbezogener Daten zum Trainieren von KI-Modellen. Insbesondere wird geprüft, ob X europäische Nutzerdaten aus „öffentlich zugänglichen Beiträgen“ unrechtmäßig genutzt hat, um seinen Chatbot Grok weiterzuentwickeln. Diese Thematik wirft erhebliche Datenschutzfragen auf, da die DPC sicherstellen möchte, dass die Datenschutz-Grundverordnung (DSGVO) eingehalten wird, während gleichzeitig auch Fragen zur Rechtmäßigkeit der Datensammlung aufkommen.

Im vergangenen Sommer hatte X angekündigt, bestimmte Daten von europäischen Nutzern nicht mehr für die Weiterentwicklung seiner KI zu verwenden. Trotzdem bleibt die DPC skeptisch und verfolgt die Entwicklung zur Klärung möglicher Verstöße. In diesem Zuge fiel eine Klage vor dem irischen High Court, die zentrales Element der Auseinandersetzung zwischen der Behörde und X war, ohne weiteres Verfahren.

Datenschutz im Fokus der KI-Nutzung

Die Untersuchung von X steht nicht allein. Bereits im September 2022 wurde eine ähnliche Untersuchung gegen Google eröffnet, weil das Unternehmen personenbezogene Daten zum Training seines Chatbots „Pathways Language Model 2“ (PaLM2) verwendet haben soll. Dies verdeutlicht die allgemeine Problematik, die viele Technologieunternehmen bei der Nutzung von KI-Diensten erleben: die Balance zwischen innovativen Fortschritten und dem Schutz der Privatsphäre der Nutzer.

Die rechtlichen Grundlagen des Datenschutzes verlangen eine sorgfältige Abwägung. Um den Anforderungen der DSGVO gerecht zu werden, sind viele Unternehmen zunehmend auf cloudbasierte KI-Dienste angewiesen. Diese werden häufig als Auftragsverarbeitung im Sinne des Art. 28 DSGVO implementiert. Allerdings dürfen dabei personenbezogene Daten nicht für eigene Zwecke der Dienstleister verwendet werden, wie das Training von KI-Modellen.

Vorgaben für den sicheren Umgang mit Daten

Gemäß den Richtlinien des Datenschutzes müssen Unternehmen sicherstellen, dass geeignete Auftragsverarbeitungsverträge (AV-Verträge) bestehen, die vor Beginn der Datenverarbeitung geprüft und unterzeichnet werden. Weitere wichtige Faktoren sind die Implementierung technischer und organisatorischer Maßnahmen (TOM) zur Gewährleistung des Datenschutzes, sowie der Grundsatz der Datenminimierung: Nur notwendige Daten dürfen verarbeitet werden. Der Zugriff auf diese Daten muss strengen Regelungen folgen und an das Need-to-Know-Prinzip gebunden sein.

Zusätzlich dürfen automatisierte Entscheidungen mit rechtlicher Wirkung nicht allein von einer KI getroffen werden, um das Risiko für die betroffenen Personen zu minimieren. Hierbei ist es wichtig, dass immer eine menschliche Kontrollinstanz in den Entscheidungsprozess eingebunden wird. Zudem müssen alle Verarbeitungstätigkeiten, insbesondere solche, die KI nutzen, dokumentiert und regelmäßig überprüft werden. Ein zentraler Punkt ist auch die Datenschutz-Folgenabschätzung (DSFA), insbesondere in Fällen, in denen die Verarbeitung ein hohes Risiko für die Rechte der betroffenen Personen darstellen könnte.

Zusammenfassend zeigt die Untersuchung von X und die laufenden Entwicklungen im Bereich KI und Datenschutz, wie wichtig es ist, für Transparenz und Einhaltung der gesetzlichen Regelungen zu sorgen. Unternehmen stehen vor der Herausforderung, innovative KI-Anwendungen datenschutzkonform zu gestalten. Die Beschäftigten müssen sich der Datenschutzvorgaben bewusst sein, und es sind interne Richtlinien sowie Schulungsmaßnahmen erforderlich, um einen verantwortungsbewussten Umgang mit KI sicherzustellen. Nicht zuletzt ist eine klare und verständliche Datenschutzerklärung unerlässlich, um die Informationspflichten gegenüber den Nutzern zu erfüllen.

Die Entwicklungen rund um den Datenschutz und KI werden weiterhin aufmerksam verfolgt, insbesondere auch im Kontext der europäischen Richtlinien und deren Implementierung durch große US-Tech-Unternehmen wie X. Entsprechende Informationen zu diesem Thema finden Sie auf Tagesspiegel, Baden-Württemberg Datenschutz und Datenschutzkanzlei.