Kürzlich hat Twitter International (das nun als „X“ auftritt) damit begonnen, die personenbezogenen Daten von mehr als 60 Millionen Nutzer:innen in Europa unrechtmäßig zu verwenden, um seine KI-Technologien (wie etwa „Grok“) ohne deren Einwilligung zu trainieren. Im Gegensatz zu Meta (das kürzlich ebenfalls das KI-Training in der EU einstellen musste) informierte Twitter seine Nutzer nicht einmal im Voraus. Das ging selbst der irischen Datenschutzkommission (DPC) zu weit: Letzte Woche leitete sie ein Gerichtsverfahren gegen Twitter ein, um die rechtswidrige Verarbeitung zu stoppen, aber die DPC scheint nicht bereit zu sein, die DSGVO vollständig durchzusetzen. noyb legt nun mit 9 Beschwerden nach.
- Beschwerden in Belgien, Frankreich, Griechenland, Irland, Italien, den Niederlanden, Österreich, Polen und Spanien
- Klage der DPC gegen Twitter vor dem irischen Gericht
- Bericht über die Klage der irischen Datenschutzbehörde
Personenbezogene Daten von 60 Millionen Menschen zum Trainieren von KI? Als ob Metas gescheiterter Versuch die personenbezogenen Daten von Menschen illegal für KI-Projekte zu nutzen, nicht Warnung genug wäre, ist Twitter das nächste US-Unternehmen, das die Daten von EU-Nutzer:innen zum Trainieren von KI absaugt. Twitter hat anscheinend im Mai 2024 damit begonnen, die Daten europäischer Nutzer:innen unwiderruflich in seine KI-Technologie „Grok“ einzuspeisen, ohne sie jemals darüber zu informieren oder um ihre Einwilligung zu fragen.
Irische DPC ergreift abermals halbherzige Maßnahmen. Twitters eklatante Ignoranz gegenüber dem Gesetz hat zu einer überraschenden Reaktion der (notorisch unternehmensfreundlichen) irischen Datenschutzbehörde geführt: Die Behörde hat gerichtliche Schritte gegen Twitter eingeleitet, um die illegale Datenverarbeitung zu stoppen und eine Anordnung zu erwirken die Datenverarbeitung zu stoppen. Bei einer Gerichtsanhörung am vergangenen Donnerstag stellte sich jedoch heraus, dass es der DPC hauptsächlich um sogenannte „Riskio–Eindämmungs-Maßnahmen“ geht. Auch wurde bemängelt, dass Twitter mit der Verarbeitung begann, während es sich noch in einem Konsultationsverfahren mit der DPC gemäß Artikel 36 DSGVO befand. Die DPC scheint sich jedoch nicht um die Kernfrage der fehlenden Einwilligung zu kümmern.
Max Schrems, Vorsitzender von noyb: „Die Gerichtsdokumente sind nicht öffentlich, aber aus der mündlichen Anhörung geht hervor, dass die Datenschutzbehörde nicht die Rechtmäßigkeit dieser Verarbeitung selbst in Frage gestellt hat. Es scheint, dass der DPC sich mit einer sogenannten ‚Risiko-Eindämmung‘ zufriedengibt und eher die mangelnden Kooperation von Twitter kritisiert. Die Behörde scheint nur Randthemen anzugehen, scheut aber vor dem Kernproblem zurück.“
noyb beantragt eine umfassende Untersuchung. Bereits während der ersten Anhörung einigte sich die irische Datenschutzbehörde mit Twitter (über ein „Untertaking“) darauf, das weitere Training des Algorithmus mit EU-Daten bis September zu pausieren. Es wurde keine Entscheidung über die Rechtmäßigkeit getroffen und viele Fragen bleiben unbeantwortet. Zum Beispiel: Was geschah mit den EU-Daten, die bereits in die Systeme eingespeist wurden, und wie kann Twitter EU- und Nicht-EU-Daten (ordnungsgemäß) trennen? Aus diesem Grund, hat noyb Beschwerden bei den Datenschutzbehörden in neun Ländern eingereicht, um sicherzustellen, dass die zentralen rechtlichen Probleme im Zusammenhang mit Twitters KI-Training vollständig gelöst werden. Je mehr andere EU-Datenschutzbehörden sich an dem Verfahren beteiligen, desto größer wird der Druck auf die irische DPC, ihr Verfahren zu Ende zu führen, und auf Twitter, das EU-Recht tatsächlich einzuhalten.
Max Schrems, Vorsitzender von noyb: „Wir haben in den letzten Jahren unzählige Fälle von ineffizienter und unvollständiger Durchsetzung durch die irische Behörde gesehen. Wir wollen sicherstellen, dass Twitter das EU-Recht vollständig einhält und die Nutzer zumindest um ihre Einwilligung fragt.„
Einfache Lösung: Einfach die Nutzer fragen! Die DSGVO bietet eine einfache Lösung für Nutzer:innen, die ihre persönlichen Daten für die KI-Entwicklung „spenden“ wollen. Man muss die Nutzer:innen nur um ihre klare Zustimmung zu einer solchen Verarbeitung bitten. Auch wenn nur eine kleine Anzahl der 60 Millionen Twitter-Nutzer:innen in das Training seiner KI-Systeme einwilligen würde, hätte Twitter mehr als genug Trainingsdaten für jedes neue KI-Modell. Aktuell will Twitter aber wohl einfach alle personenbezogenen Daten nutzen – ohne jeglicher Information oder Einwilligung der Nutzer:innen.
Max Schrems, Vorsitzender von noyb: „Unternehmen, die direkt mit den Nutzern interagieren, müssen ihnen einfach eine Ja/Nein-Frage stellen, bevor sie ihre Daten verwenden. Sie tun dies regelmäßig für viele andere Dinge, also wäre es definitiv auch für das KI-Training möglich.„
Stehen Geschäftsinteressen über den Grundrechten der Nutzer? Normalerweise ist die Verarbeitung personenbezogener Daten in der Europäischen Union laut Gesetz erstmal rechtswidrig. Um personenbezogene Daten zu verarbeiten, muss sich Twitter daher auf eine der sechs Rechtsgrundlagen gemäß Artikel 6 Absatz 1 DSGVO berufen. Obwohl die logische Wahl die Einwilligung wäre, macht Twitter – ähnlich wie Meta – geltend, dass es ein „berechtigtes Interesse“ hätte, das über den Grundrechten der Nutzer:innen steht. Dieser Ansatz wurde bereits vom Europäischen Gerichtshof in einem Fall zurückgewiesen, in dem es um die Verwendung personenbezogener Daten für gezielte Werbung durch Meta ging. Es scheint jedoch, dass die irische DPC in den letzten Monaten mit Twitter über so ein“berechtigte Interesse“ verhandelt hat. All das geschieht im Rahmen eines Konsultationsverfahrens nach Artikel 36 DSGVO.
Max Schrems: „Die Fakten, die wir jetzt aus dem irischen Gerichtsverfahren kennen, deuten darauf hin, dass die irische Behörde das Kernproblem nicht wirklich in Frage gestellt hat, nämlich die Erfassung all dieser personenbezogenen Daten ohne Zustimmung der Nutzer.„
Informationen nur über „viralen“ X-Post bereitgestellt. Wie bereits erwähnt, hat Twitter seine Nutzer:innen nie proaktiv darüber informiert, dass ihre persönlichen Daten zum Trainieren von KI verwendet werden – obwohl Twitter uns jedes Mal mit Benachrichtigungen bombardiert, wenn jemand ihre Beiträge „liked“ oder „retweetet“. Im Gegenteil, es scheint, dass die meisten Menschen von der neuen Standardeinstellung durch einen viralen Beitrag eines Nutzers namens @EasyBakedOven‘ am 26. Juli 2024 erfahren haben – über zwei Monate nach Beginn des KI-Trainings.
Wie sieht es mit anderen DSGVO-Rechten aus? Derzeit behaupten die Anbieter von KI-Systemen größtenteils, dass sie nicht in der Lage sind, andere Anforderungen der DSGVO zu erfüllen, wie z. B. das Recht auf Vergessenwerden (Artikel 17 DSGVO), sobald die Daten in ihre KI-Systeme aufgenommen wurden. Ebenso neigen Unternehmen dazu, zu behaupten, dass sie nicht in der Lage sind, Anfragen zu beantworten, um eine Kopie der in den Trainingsdaten enthaltenen personenbezogenen Daten oder der Quellen dieser Daten zu erhalten (wie in Artikel 15 DSGVO vorgeschrieben) oder dass sie nicht in der Lage sind, unrichtige personenbezogene Daten zu korrigieren (wie in Artikel 16 DSGVO vorgesehen). Dies wirft zusätzliche Fragen auf, wenn es um die Einspeisung von Daten in KI-Systeme geht.
Dringlichkeitsverfahren. Angesichts der Tatsache, dass Twitter bereits damit begonnen hat, die Daten von Personen für seine KI-Technologie zu verarbeiten, und dass es im Grunde keine Möglichkeit gibt, die aufgenommenen Daten zu entfernen, hat noyb ein „Dringlichkeitsverfahren“ gemäß Artikel 66 DSGVO beantragt. Datenschutzbehörden in neun europäischen Ländern (Österreich, Belgien, Frankreich, Griechenland, Irland, Italien, Niederlande, Polen und Spanien) haben einen solchen Antrag im Namen der betroffenen Personen erhalten. Artikel 66 DSGVO ermächtigt die Datenschutzbehörden, in solchen Situationen vorläufige Maßnahmen zu treffen, und ermöglicht eine europäische Entscheidung über den Europäischen Datenschutzausschuss (EDSA). Die irische Datenschutzbehörde und Meta Ireland waren bereits Gegenstand von zwei „Dringlichkeitsentscheidungen“ des EDSA in ähnlichen Situationen.
Zahlreiche DSGVO-Bestimmungen verletzt. Neben dem Fehlen einer gültigen Rechtsgrundlage ist es sehr unwahrscheinlich, dass Twitter ordnungsgemäß zwischen den Daten von Nutzern in der EU/im EWR und in anderen Ländern (in denen die Menschen keinen Schutz durch die DSGVO genießen) unterscheiden kann. Das Gleiche gilt für sensible Daten gemäß Artikel 9 DSGVO für die die Rechtsgrundalge des „berechtigten Interesses“ gesetzlich nicht vorgesehen ist. Hier ist unklar, wie Twitter zwischen Daten, die Aufschluss über ethnische Zugehörigkeit, politische Meinungen und religiöse Überzeugungen geben, sowie andere Daten unterscheiden kann. Mit dem überstürzten Start seines KI-Projekts scheint Twitter gegen eine Reihe anderer Bestimmungen der DSGVO verstoßen zu haben. Insgesamt, brachte noyb Verstöße gegen Artikel 5(1) und (2), 6(1), 9(1), 12(1) und (2), 13(1) und (2), 17(1)(c), 18(1)(d), 19, 21(1) und 25 DSGVO vor.
NOYB