X unter EU-Datenschutz-Ermittlung wegen KI-Tool Grok

Europas Datenschützer eröffnen eine neue Front gegen Künstliche Intelligenz: Sie untersuchen offiziell, ob das KI-Tool Grok der Plattform X gegen die DSGVO verstößt. Die Prüfung könnte zu Milliardenstrafen führen – doch die Behörden kassieren bislang kaum Geld.

Ermittlung wegen möglicher Deepfake-Bilder

Die irische Datenschutzkommission (DPC) hat eine formelle Untersuchung gegen X, das frühere Twitter, eingeleitet. Konkret geht es um die Frage, ob die Plattform personenbezogene Daten für ihr KI-System Grok rechtskonform verarbeitet. Auslöser waren Berichte, dass das Tool dazu gebracht werden konnte, nicht einvernehmliche sexualisierte Bilder von Personen, darunter Minderjährigen, zu erzeugen.

Die Behörde prüft nun den zugrundeliegenden Datenverarbeitungsprozess. Im Fokus steht, ob X überhaupt eine rechtliche Grundlage hat, Nutzerdaten für das Training und den Betrieb solcher Modelle zu verwenden. Auch die technischen Schutzvorkehrungen gegen die Erzeugung schädlicher personenbezogener Daten werden untersucht.

Bei Verstößen gegen die DSGVO drohen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes. Für ein Unternehmen wie X könnte das theoretisch Hunderte Millionen Euro bedeuten.

Die Milliardenlücke: Verhängte versus kassierte Strafen

Die neue Ermittlung fällt in eine Zeit, in der eine eklatante Diskrepanz bei den DSGVO-Strafen offenbar wird. Seit 2018 hat die irische DPC Bußgelder in Höhe von über vier Milliarden Euro verhängt. Doch gesammelt wurden davon bislang weniger als 20 Millionen Euro.

Der Großteil der Strafen steckt in jahrelangen Rechtsstreitigkeiten fest. Zu den prominentesten anhängigen Fällen gehören:
* Meta: Eine Rekordstrafe von 1,2 Milliarden Euro von Mai 2023 wegen Datenübermittlungen in die USA.
* TikTok: Eine Strafe von 345 Millionen Euro aus dem Jahr 2023 zum Schutz von Kinderdaten.
* WhatsApp: Eine Transparenzstrafe von 225 Millionen Euro aus 2021.

Diese Praxis wirft Fragen nach der Wirksamkeit des EU-Durchsetzungsmechanismus auf. Während die Behörden Strafen verhängen, verzögern Unternehmen die Zahlung durch komplexe Berufungsverfahren über Jahre.

Neuer Weg für Unternehmen, Strafen anzufechten

Die Rechtslage für Unternehmen hat sich kürzlich verschoben. Der Europäische Gerichtshof (EuGH) urteilte vorige Woche, dass Firmen bindende Entscheidungen des Europäischen Datenschutzausschusses (EDPB) direkt vor EU-Gerichten anfechten können.

Bisher mussten sich Klagen meist gegen die finale Entscheidung der nationalen Behörde – wie der irischen DPC – richten. Der neue Präzedenzfall, der aus einem WhatsApp-Verfahren stammt, erlaubt es Unternehmen nun, die zentrale europäische Instanz direkt anzugreifen. Juristen erwarten, dass dies Teile des Berufungswegs beschleunigen, aber auch zu noch hartnäckigeren Rechtsstreits führen könnte.

KI als nächste große Herausforderung für die DSGVO

Die Untersuchung gegen Grok markiert einen Wendepunkt. Bislang konzentrierten sich die meisten hohen Strafen auf Transparenz, Werbetargeting und Datensicherheit. Der Vorstoß gegen generative KI zeigt: Die Aufsichtsbehörden wenden nun DSGVO-Grundsätze wie Datenminimierung und Zweckbindung auch auf die „Blackbox“ des Maschinellen Lernens an.

Unternehmen und Entwickler, die Klarheit über die neuen Pflichten durch die EU‑KI‑Verordnung suchen, finden einen kompakten Umsetzungsleitfaden mit konkreten To‑dos zu Kennzeichnungspflichten, Risikoklassifizierung, Dokumentationsanforderungen und Übergangsfristen. Der Gratis‑Report ist speziell für Compliance‑Teams und KI‑Anbieter aufbereitet. Kostenlosen KI‑Verordnungs‑Leitfaden jetzt herunterladen

Die Kernfrage für KI-Entwickler lautet: Wie lässt sich eine rechtliche Grundlage für die Verarbeitung riesiger Datenmengen zum Training von Modellen rechtfertigen, die unvorhersehbar „neue“ personenbezogene Daten wie Deepfakes erzeugen können? Sollte die DPC bei X keine solche Grundlage finden, könnte dies einen Präzedenzfall schaffen. KI-Unternehmen müssten dann für Trainingsdaten explizite Nutzereinwilligungen einholen – was ihre Geschäftsmodelle grundlegend verändern würde.

Was kommt auf Unternehmen zu?

Für Firmen, die KI-Tools nutzen, wird die Überwachung schärfer. Die Ermittlung gegen X ist wahrscheinlich nur der Auftakt. In den kommenden Monaten ist zu erwarten:

• Leitlinien für KI: Die Erkenntnisse aus dem X-Verfahren werden künftige EDPB-Leitlinien zu KI-Trainingsdaten prägen.
• Verlagerte Rechtsstreits: Durch das neue EuGH-Urteil werden große Auseinandersetzungen zunehmend auf europäischer Ebene ausgetragen.
• Fokus auf Vollstreckung: Der Druck auf die Behörden wächst, nicht nur Strafen zu verhängen, sondern sie auch einzutreiben. Dies könnte zu mehr außergerichtlichen Einigungen führen.

Für Compliance-Verantwortliche ist die Botschaft klar: Die Ära des „einfach machen und dabei Regeln brechen“ ist mit dem europäischen Datenschutzrecht, insbesondere bei KI, unvereinbar.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.