Datenschutzrechtliche Untersuchung gegen X

Mit der Entwicklung leistungsstarker Sprachmodelle wie Grok von X verschmelzen soziale Netzwerke und Künstliche Intelligenz (KI) zunehmend. In diese Grauzone zwischen Innovation und Datenschutz greift nun die irische Datenschutzaufsicht ein. Die irische Data Protection Commission (DPC) hat laut Mitteilung vom 11.04.2025 eine förmliche datenschutzrechtliche Untersuchung gegen den Social-Media-Konzern X (ehemals Twitter) eingeleitet. Im Zentrum steht die Frage, ob das Unternehmen personenbezogene Daten von EU-Nutzern rechtmäßig zum Training seiner generativen KI-Modelle verwendet hat.

Grok als neues Aushängeschild der Plattform X

Die unter dem Namen Grok entwickelten generativen Sprachmodelle stammen von der Firma xAI, einem Unternehmen von Elon Musk. Sie werden über das Soziale-Netzwerk X in Form eines Chatbots angeboten. Grok ähnelt in seiner Funktionalität und Reichweite anderen bekannten LLMs wie GPT, Claude oder Gemini. Trainiert wurden die Grok-Modelle – wie in der Branche üblich – mit riesigen Datenmengen aus unterschiedlichsten Quellen. Strittig ist nun, ob sich darunter auch personenbezogene Inhalte aus öffentlich sichtbaren Nutzerpostings auf X befanden, die von EU-Bürgern stammen. Sollte dies der Fall sein, stellt sich die Frage nach der Rechtsgrundlage für eine solche Datenverarbeitung.

Untersuchung der DPC

Die DPC erklärt, dass sie eine Vielzahl von Aspekten beleuchten wird, darunter Rechtmäßigkeit und Transparenz der Verarbeitung. Dies lässt auf eine umfassende Untersuchung der Mechanismen schließen, mit denen X bzw. die X Internet Unlimited Company (XIUC) personenbezogene Inhalte der Plattform in das Training der Grok-Modelle eingebunden hat. Insbesondere sei fraglich, ob zum Training der KI in Postings öffentlich einsehbare Daten der Nutzer verwendet wurden. Über die Durchführung der Untersuchung habe die DPC das Unternehmen bereits informiert.

DSGVO konformes KI-Training

Ende letzten Jahres hat der Europäische Datenschutzausschuss (EDSA) bereits eine Stellungnahme zum Umgang mit personenbezogenen Daten in der Entwicklung und Nutzung von KI-Modellen veröffentlicht. Ein Schwerpunkt war die Zulässigkeit des Einsatzes des berechtigten Interesses als Rechtsgrundlage für Trainingszwecken. Der Digitalverband Bitkom hatte zuvor bereits erklärt, dass die Einengung des Anwendungsbereichs dieser Rechtsgrundlage ein enormes Hemmnis für das KI-Training erzeugen könnte.

Der EDSA schlug daraufhin einen dreistufigen Test vor. Die Datenverarbeitung müsse zunächst unbedingt notwendig sein, um das berechtigte Interesse zu erfüllen. Eine Interessenabwägung müsse dann ergeben, dass die Rechte und Interessen der betroffenen Personen nicht überwiegen. Zuletzt müssten Personen vernünftigerweise mit der Verarbeitung rechnen können.

Fazit

Durch die datenschutzrechtliche Untersuchung gegen X geht die irische Datenschutzaufsicht einen technologisch komplexen und rechtlich wenig geklärten Bereichen an. Die zentrale Frage, ob Unternehmen öffentlich zugängliche Social-Media-Inhalte ohne zusätzliche Erlaubnis für das Training generativer KI verwenden dürfen, ist von enormer Tragweite. Das gilt nicht nur für X, sondern für die gesamte datengetriebene KI-Branche. Der Fall wirft grundlegende Fragen zur Zweckbindung, zur Transparenz und zur Reichweite berechtigter Interessen auf, die bislang weder in der Rechtsprechung noch durch regulatorische Leitlinien abschließend geklärt sind. Es bleibt nun spannend, was die Untersuchungen der DPC ergeben werden.