Kürzlich hat Twitter International (das nun als "X" auftritt) damit begonnen, die persönlichen Daten von mehr als 60 Millionen Nutzer:innen in Europa unrechtmäßig zu verwenden, um seine KI-Technologien (wie etwa "Grok") ohne deren Einwilligung zu trainieren. Im Gegensatz zu Meta (das kürzlich ebenfalls das KI-Training in der EU einstellen musste) informierte Twitter seine Nutzer:innen nicht einmal im Voraus. Das ging selbst der irischen Datenschutzkommission (DPC) zu weit: Letzte Woche leitete sie ein Gerichtsverfahren gegen Twitter ein, um die rechtswidrige Verarbeitung zu stoppen. Aber die DPC scheint nicht bereit zu sein, die DSGVO vollständig durchzusetzen. noyb legt nun mit 9 Beschwerden nach.
- Beschwerden in Belgien, Frankreich, Griechenland, Irland, Italien, den Niederlanden, Österreich, Polen und Spanien
- Klage der DPC gegen Twitter vor dem irischen Gericht
- Bericht über die Klage der irischen Datenschutzbehörde
Persönliche Daten von 60 Millionen Menschen zum Trainieren von KI? Eigentlich sollte man meinen, dass Metas gescheiterter Versuch die persönlichen Daten von Menschen illegal für KI-Projekte zu nutzen, Warnung genug war. Eigentlich. Dennoch hat nun Twitter begonnen, die Daten von EU-Nutzer:innen für das KI-Training abzusaugen. Schon seit Mai 2024 speist das Unternehmen die Daten europäischer Nutzer:innen unwiderruflich in seine KI-Technologie "Grok" ein, ohne sie jemals darüber zu informieren oder um ihre Einwilligung zu fragen.
Irische DPC ergreift abermals halbherzige Maßnahmen. Twitters eklatante Ignoranz gegenüber dem Gesetz hat zu einer überraschenden Reaktion der (notorisch unternehmensfreundlichen) irischen Datenschutzbehörde (DPC) geführt: Die Behörde hat gerichtliche Schritte gegen Twitter eingeleitet, um die illegale Datenverarbeitung zu stoppen. Bei einer Gerichtsanhörung am vergangenen Donnerstag stellte sich jedoch heraus, dass es der DPC hauptsächlich um sogenannte "Riskio-Eindämmungs-Maßnahmen" geht. Auch wurde bemängelt, dass Twitter mit der Verarbeitung begann, während es sich noch in einem Konsultationsverfahren mit der DPC gemäß Artikel 36 DSGVO befand. Die DPC scheint sich jedoch nicht um die Kernfrage der fehlenden Einwilligung zu kümmern.
Max Schrems, Vorsitzender von noyb: "Die Gerichtsdokumente sind nicht öffentlich, aber aus der mündlichen Anhörung geht hervor, dass die Datenschutzbehörde nicht die Rechtmäßigkeit dieser Verarbeitung selbst in Frage gestellt hat. Es scheint, dass die DPC sich mit einer sogenannten 'Risiko-Eindämmung' zufriedengibt und eher die mangelnden Kooperation von Twitter kritisiert. Die Behörde scheint nur Randthemen anzugehen, scheut aber vor dem Kernproblem zurück."
noyb beantragt eine umfassende Untersuchung. Bereits während der ersten Anhörung einigte sich die irische Datenschutzbehörde mit Twitter (über ein "Untertaking") darauf, das weitere Training des Algorithmus mit EU-Daten bis September zu pausieren. Es wurde keine Entscheidung über die Rechtmäßigkeit getroffen und viele Fragen bleiben unbeantwortet. Zum Beispiel: Was passiert mit den EU-Daten, die bereits in die Systeme eingespeist wurden, und wie kann Twitter EU- und Nicht-EU-Daten (ordnungsgemäß) trennen? Aus diesem Grund, hat noyb Beschwerden bei den Datenschutzbehörden in neun Ländern eingereicht. Unser Ziel ist es, sicherzustellen, dass die zentralen rechtlichen Probleme im Zusammenhang mit Twitters KI-Training vollständig gelöst werden. Je mehr EU-Datenschutzbehörden sich an dem Verfahren beteiligen, desto größer wird der Druck auf die irische DPC, ihr Verfahren zu Ende zu führen, und auf Twitter, das EU-Recht tatsächlich einzuhalten.
Max Schrems, Vorsitzender von noyb: "Wir haben in den letzten Jahren unzählige Fälle von ineffizienter und unvollständiger Durchsetzung durch die irische Behörde gesehen. Wir wollen sicherstellen, dass Twitter das EU-Recht vollständig einhält und die Nutzer:innen zumindest um ihre Einwilligung bittet."
Einfache Lösung: Einfach die Nutzer:innen fragen! Die DSGVO bietet eine einfache Lösung für Nutzer:innen, die ihre persönlichen Daten für die KI-Entwicklung "spenden" wollen. Man muss die Nutzer:innen nur um ihre klare Zustimmung zu einer solchen Verarbeitung bitten. Auch wenn nur ein kleiner Teil der 60 Millionen Twitter-Nutzer:innen in das Training der KI-Systeme einwilligen würde, hätte Twitter mehr als genug Trainingsdaten für jedes neue KI-Modell. Aktuell will Twitter aber wohl einfach alle personenbezogenen Daten nutzen - ohne jeglicher Information oder Einwilligung der Nutzer:innen.
Max Schrems, Vorsitzender von noyb: "Unternehmen, die direkt mit den Nutzer:innen interagieren, müssen ihnen vor der Datenverwendung einfach eine Ja/Nein-Frage stellen. Sie tun dies regelmäßig für viele andere Dinge, also wäre es definitiv auch für das KI-Training möglich."
Stehen Geschäftsinteressen über den Grundrechten der Nutzer:innen? Grundsätzlich ist die Verarbeitung persönlicher Daten in der Europäischen Union laut Gesetz erstmal rechtswidrig. Um dies dennoch zu tun, muss sich Twitter daher auf eine der sechs Rechtsgrundlagen gemäß Artikel 6 Absatz 1 DSGVO berufen. Obwohl die logische Wahl die Einwilligung wäre, macht Twitter - ähnlich wie Meta - geltend, dass es ein "berechtigtes Interesse" hätte, das über den Grundrechten der Nutzer:innen steht. Dieser Ansatz wurde bereits vom Europäischen Gerichtshof in einem Fall rund um Metas Verwendung persönlicher Daten für gezielte Werbung abgewiesen. Es scheint jedoch, dass die irische DPC in den letzten Monaten mit Twitter über so ein"berechtigte Interesse" verhandelt hat. All das geschieht im Rahmen eines Konsultationsverfahrens nach Artikel 36 DSGVO.
Max Schrems: "Die Fakten, die wir jetzt aus dem irischen Gerichtsverfahren kennen, deuten darauf hin, dass die irische Behörde das Kernproblem nicht wirklich in Frage gestellt hat, nämlich die Erfassung all dieser persönlicher Daten ohne Zustimmung der Nutzer:innen."
Informationen nur über "viralen" X-Post bereitgestellt. Wie bereits erwähnt, hat Twitter seine Nutzer:innen nie proaktiv darüber informiert, dass ihre persönlichen Daten zum Trainieren von KI verwendet werden - obwohl Twitter einen jedes Mal mit Benachrichtigungen bombardiert, wenn der eigene Beitrag "liked" oder "retweetet" wird. Im Gegenteil scheint es so, dass die meisten Menschen von der neuen Standardeinstellung durch einen viralen Beitrag eines Nutzers namens @EasyBakedOven' am 26. Juli 2024 erfahren haben - mehr als zwei Monate nach Beginn des KI-Trainings.
Wie sieht es mit anderen DSGVO-Rechten aus? Derzeit behaupten die Anbieter von KI-Systemen größtenteils, dass sie nicht in der Lage seien, andere Anforderungen der DSGVO zu erfüllen. Darunter z. B. das Recht auf Vergessenwerden (Artikel 17 DSGVO), sobald die Daten in ihre KI-Systeme aufgenommen wurden. Ebenso neigen Unternehmen zur Behauptung nicht in der Lage zu sein, den Betroffenen eine Kopie der in Trainingsdaten enthaltenen persönlichen Daten oder der Quellen dieser Daten bereitzustellen (wie in Artikel 15 DSGVO vorgeschrieben) Nicht zuletzt behaupten sie nicht in der Lage zu sein, unrichtige persönliche Daten zu korrigieren (wie in Artikel 16 DSGVO vorgesehen). Dies wirft zusätzliche Fragen auf, wenn es um die Einspeisung von Daten in KI-Systeme geht.
Dringlichkeitsverfahren. Da Twitter bereits mit der Verarbeitung der presönlichen für seine KI-Technologie begonnen hat, und da es im Grunde keine Möglichkeit gibt, die aufgenommenen Daten zu entfernen, hat noyb ein "Dringlichkeitsverfahren" gemäß Artikel 66 DSGVO beantragt. Datenschutzbehörden in neun europäischen Ländern (Österreich, Belgien, Frankreich, Griechenland, Irland, Italien, Niederlande, Polen und Spanien) haben einen solchen Antrag im Namen der betroffenen Personen erhalten. Artikel 66 DSGVO ermächtigt die Datenschutzbehörden, in solchen Situationen vorläufige Maßnahmen zu treffen, und ermöglicht eine europäische Entscheidung über den Europäischen Datenschutzausschuss (EDSA). Die irische Datenschutzbehörde und Meta Ireland waren bereits Gegenstand von zwei "Dringlichkeitsentscheidungen" des EDSA in ähnlichen Situationen.
Zahlreiche DSGVO-Bestimmungen verletzt. Neben dem Fehlen einer gültigen Rechtsgrundlage ist es sehr unwahrscheinlich, dass Twitter ordnungsgemäß zwischen den Daten von Nutzer:innen in der EU/im EWR-Raum und in anderen Ländern (in denen die Menschen keinen Schutz durch die DSGVO genießen) unterscheiden kann. Das Gleiche gilt für sensible Daten gemäß Artikel 9 DSGVO, für die die Rechtsgrundalge des "berechtigten Interesses" gesetzlich nicht vorgesehen ist. Hier ist unklar, wie Twitter zwischen Daten, die Aufschluss über ethnische Zugehörigkeit, politische Meinungen und religiöse Überzeugungen geben, sowie andere Daten unterscheiden kann. Mit dem überstürzten Start seines KI-Projekts scheint Twitter gegen eine Reihe anderer Bestimmungen der DSGVO verstoßen zu haben. Insgesamt, brachte noyb Verstöße gegen Artikel 5(1) und (2), 6(1), 9(1), 12(1) und (2), 13(1) und (2), 17(1)(c), 18(1)(d), 19, 21(1) und 25 DSGVO vor.