AI bei X: Datenschutzbedenken, Verstöße gegen die DSGVO und Fehlinformationen

Das KI-Modell von X, Grok, ist ein Large Language Model (LLM), das darauf ausgelegt ist, menschenähnlichen Text auf der Grundlage riesiger Datensätze zu verarbeiten und zu generieren. Es kann die Absicht und den Kontext der Benutzer interpretieren, was zu aussagekräftigeren Interaktionen führt, und lernt kontinuierlich aus der fortlaufenden Interaktion der Benutzer:innen, wodurch seine Antworten im Laufe der Zeit verbessert werden. Grok wurde als KI-Suchassistent für Premium-Kontoinhaber auf X konzipiert und von Musks US-amerikanischem Unternehmen xAI Corp. entwickelt.

Die Trainingsmethode für LLMs wie Grok basiert in hohem Maße auf benutzergenerierten Inhalten, die insbesondere von X stammen. Grok wird anhand von Millionen von Beiträgen, Kommentaren und Interaktionen innerhalb der Plattform trainiert. Durch die Analyse dieser Daten identifiziert Grok Trends, Stimmungen und sprachliche Nuancen, die in seine Antworten einfließen.

Daher spielen die Beiträge der Benutzer:innen eine entscheidende Rolle bei der Gestaltung des Verhaltens und der Leistung von KI-Modellen wie Grok. Sie liefern den grundlegenden Kontext, aus dem das Modell verschiedene Themen und Benutzerpräferenzen lernt.

Und diese Abhängigkeit von persönlichen Inhalten wirft erhebliche Datenschutzbedenken im Rahmen der DSGVO auf.

Im August 2024 reichte noyb - European Center for Digital Rights, eine gemeinnützige Organisation zur Unterstützung der DSGVO, eine Beschwerde bei neun DSGVO-Aufsichtsbehörden in Irland, Österreich, Belgien, Frankreich, Griechenland, Italien, den Niederlanden, Spanien und Polen ein, in der sie geltend machte, dass X die personenbezogenen Daten von mehr als 60 Millionen Nutzern in der EU/im EWR unrechtmäßig und ohne deren Zustimmung für das Training seiner KI-Technologien (wie „Grok“) verwendet hat.

In der Beschwerde wurden die folgenden Fakten dargelegt: Im September 2023 fügte X diesen Satz seiner Datenschutzrichtlinie hinzu: 

„Wir können die von uns gesammelten und öffentlich zugänglichen Informationen verwenden, um unsere Modelle für maschinelles Lernen oder künstliche Intelligenz für die in dieser Richtlinie genannten Zwecke zu trainieren.“

Laut noyb begann X im Mai 2024 damit, sein KI-Modell mit Beiträgen von Nutzern mit Sitz in der EU zu trainieren, ohne diese weiter zu benachrichtigen oder um ihre Zustimmung zu bitten.

Darüber hinaus fügte X im Juli 2024 eine neue Einstellung in der X-Web-Benutzeroberfläche hinzu, die es ermöglicht, die Interaktionen auf der Plattform für das Training seines KI-Modells zu nutzen. Diese Einstellung war standardmäßig aktiviert. Die Daten können sogar an xAI weitergegeben werden, ein separates Unternehmen unter der Leitung von Elon Musk, das künstliche Intelligenz entwickelt, zu der auch Grok gehört, aber nicht darauf beschränkt ist.

In der Beschwerde wird auch erklärt, wie die Ablehnung dieser Datenweitergabe das „Widerspruchsrecht“ der Nutzer gemäß Artikel 21 der DSGVO verletzt, indem die Nutzer:innen sieben Schritte ausführen müssen, bevor sie die Einstellung deaktivieren können, einschließlich des Einloggens bei X, des Navigierens durch das Einstellungsmenü und des Öffnens mehrerer Untermenüs, bevor sie die Einstellung für die Datenweitergabe deaktivieren können.

Insgesamt behauptet noyb, dass die Handlungen von X gegen mehrere Bestimmungen der DSGVO verstoßen, darunter die Grundsätze der DSGVO, die Transparenzregeln und die operativen Regeln.

Im August 2024 leitete die irische Datenschutzkommission (DPC) vor dem High Court in Irland ein Verfahren gegen Twitter International Unlimited Company, die wichtigste Tochtergesellschaft von X in Irland, ein. Das Verfahren bezog sich auf die Verwendung der personenbezogenen Daten von X-Nutzer:innen zum Training von Grok, dem KI-Modell von X.

Infolgedessen hat X zugestimmt, die Verarbeitung der zwischen Mai und August 2024 gesammelten personenbezogenen Daten auszusetzen. Das Verfahren wurde dann im September 2024 eingestellt, nachdem X sich bereit erklärt hatte, die Verarbeitung einiger personenbezogener Daten dauerhaft einzustellen.

Bisher ist es X somit gelungen, Sanktionen zu vermeiden, obwohl weitere Beschwerden im Zusammenhang mit der DSGVO der EU im Zusammenhang mit dem Training von Grok noch untersucht werden.

Der Fall hat eine potenzielle Lücke aufgedeckt: Sobald ein LLM auf personenbezogene Daten trainiert ist, ist es schwierig oder unmöglich, den KI-Trainingsprozess umzukehren, was es für betroffene Personen schwierig macht, ihr Recht auf Löschung gemäß der DSGVO auszuüben. Dies hat die Datenschutzbehörde dazu veranlasst, beim Europäischen Datenschutzausschuss (EDPB) eine „proaktive, wirksame und einheitliche europaweite Regelung“ für KI-Unternehmen zu beantragen, die Social-Media-Beiträge zur Schulung ihrer Modelle verwenden.

Am 7. August 2024 twitterte das Global-Governance-Team von X:

„Die Anordnung, um die die irische Datenschutzbehörde ersucht hat, ist ungerechtfertigt, übertrieben und stellt X ohne jegliche Begründung an den Pranger. Das ist zutiefst beunruhigend ... Während viele Unternehmen weiterhin das Internet durchforsten, um KI-Modelle zu trainieren, ohne Rücksicht auf die Privatsphäre der Nutzer zu nehmen, hat X alles in seiner Macht Stehende getan, um den Nutzern mehr Kontrolle über ihre Daten zu geben.“

Die Reaktion wirft weitere Bedenken auf, dass der Datenschutz und die Privatsphäre der Nutzer:innen im Vordergrund des Interesses der Plattform stehen, sowie Bedenken hinsichtlich der Fähigkeit der Plattform, Probleme wie Hassreden, Fehlinformationen und die Sicherheit der Nutzer:innen anzugehen. Im Juni 2023 erhielt X rechtliche Mitteilungen von der australischen Regierung, in denen Erklärungen zu seinen Richtlinien bezüglich Hassreden gefordert wurden. Später im selben Jahr sah sich X dem Druck ausgesetzt, sich an das strenge Gesetz der Europäischen Union über digitale Dienste zu halten, insbesondere in Bezug auf die Regeln für den Umgang mit Fehlinformationen.

siehe auch: Der EU-Digital Services Act: Ein Leitfaden für Unternehmen

Die Bedenken hinsichtlich Datenschutz und Fehlinformationen haben seit Elon Musks Übernahme von Twitter im Jahr 2022 für 44 Milliarden US-Dollar zugenommen. Der neue Führungsstil hat zu aggressiveren Monetarisierungsstrategien geführt, bei denen schnelles Wachstum oft Vorrang vor dem Schutz der Privatsphäre der Nutzer:innen hat, was Bedenken hinsichtlich des Umgangs mit personenbezogenen Daten aufwirft.

Darüber hinaus hat Musk selbst, der mit mehr als 200 Millionen Followern der meistgefolgte Nutzer:innen auf X ist, wenig unternommen, um die Wahrnehmung von X als regulierte Plattform zu verbessern, und trägt oft selbst zu Fehlinformationen bei. Obwohl Musk eine Vielzahl von Fehlinformationen auf X geteilt hat, hier einige Beispiele:

• Im Jahr 2020, als die USA Ausgangssperren verhängten, um die Ausbreitung von Covid einzudämmen, machte Musk auf Twitter eine kühne Vorhersage: „Basierend auf den aktuellen Trends werden bis Ende April wahrscheinlich fast keine neuen Fälle in den USA [...] auftreten“ und behauptete sogar, Kinder seien „im Wesentlichen immun“ gegen Covid
• Im Jahr 2023 legte Musk die Betrugsvorwürfe mit der Securities and Exchange Commission bei, indem er einer Geldstrafe von 20 Millionen Dollar für einen irreführenden Kommentar zustimmte, der „zu erheblichen Marktstörungen führte“.
• Im Jahr 2024 teilte der CEO von X, ein begeisterter Anhänger von Donald Trump bei den bevorstehenden US-Präsidentschaftswahlen, laut dem Center for Countering Digital Hate 50 irreführende oder falsche Tweets über die US-Wahlen, die insgesamt über 1,2 Milliarden Mal aufgerufen wurden. Dazu gehörte auch das Teilen eines Deepfake-Videos der demokratischen Kandidatin Kamala Harris, ohne offenzulegen, dass es sich um ein manipuliertes Video handelte. In dem manipulierten Video verkündete Harris: „Ich bin die ultimative Person, die für Vielfalt steht.“
• Darüber hinaus entließ X im September 2024 das Sicherheitsteam, das für die Bekämpfung von betrügerischem Material auf der Plattform zuständig war, kurz vor den US-Präsidentschaftswahlen im November 2024.
• Im August 2024 schickten fünf Außenminister einen offenen Brief an Musk, in dem sie ihn aufforderten, „umgehend“ Änderungen an Grok, dem KI-Chatbot von X, vorzunehmen, der falsche Behauptungen über Harris' Versäumnis, eine Wahlfrist in neun Bundesstaaten einzuhalten, verbreitet hatte – Fehlinformationen, die von Millionen von Nutzern gesehen wurden.

Musks öffentliches Verhalten hat zu ethischen Bedenken und zu Skepsis unter den Nutzer:innen hinsichtlich der Fähigkeit von X, Informationen verantwortungsvoll zu verwalten und sichere Praktiken aufrechtzuerhalten, beigetragen.

Mit über 430 Millionen Nutzern weltweit sind der Einfluss und die Reichweite von X zu einem Grund zur Besorgnis geworden. Die Rolle der Plattform bei der Verbreitung von Fehlinformationen, ihre mangelnde Transparenz in Bezug auf manipulierte Inhalte und ihre mangelnde Rücksichtnahme auf Datenschutz und Transparenz haben Fragen hinsichtlich ihres Engagements für ethische Praktiken aufgeworfen.

Zusammenfassend lässt sich sagen, dass X vor großen Herausforderungen steht, wenn es darum geht, Datenschutzbedenken und Fehlinformationen auf seiner Plattform anzugehen. Die potenziellen Verstöße gegen die DSGVO im Rahmen des Trainingsprozesses für KI-Modelle unterstreichen die Notwendigkeit strengerer Compliance-Maßnahmen zum Schutz von Nutzerdaten.

Die Führung von Elon Musk hat sowohl Innovation als auch Kontroversen mit sich gebracht, wobei sein Umgang mit Fehlinformationen und Datenschutzfragen auf breite Kritik stößt.

Um das Vertrauen wiederherzustellen, muss X der Transparenz Vorrang einräumen, seine Datenschutzrichtlinien stärken und die ethische Nutzung von KI-Technologien sicherstellen.

Hier kommt heyData ins Spiel: Mit unserer innovativen KI Solution unterstützen wir dich dabei, den EU AI Act zu erfüllen, Datenschutzanforderungen zu meistern und ethische Standards im Umgang mit KI einzuhalten. Unsere maßgeschneiderten Compliance-Roadmaps und automatisierten Dokumentationen machen es dir einfach, komplexe Vorgaben umzusetzen. Mehr dazu erfährst du in unserem Whitepaper.