X unter EU-Datenschutzermittlung wegen KI-Bildgenerator

Elon Musks Plattform X steht nach Berichten über nicht einvernehmliche KI-Bilder unter einer großangelegten EU-Datenschutzermittlung. Die irische Aufsichtsbehörde prüft schwere Verstöße gegen die DSGVO.

Die irische Datenschutzkommission (DPC) hat am Dienstag eine formelle Untersuchung gegen X (ehemals Twitter) eingeleitet. Im Fokus steht der KI-Chatbot Grok, mit dem Nutzer offenbar fotorealistische, sexualisierte Deepfakes realer Personen – auch Minderjähriger – erstellen konnten. Als federführende Aufsicht für X in der EU untersucht die DPC, ob das Unternehmen fundamentale Prinzipien der europäischen Datenschutz-Grundverordnung verletzt hat.

Kernvorwurf: Fehlende Datenschutz-Folgenabschätzung

Die Ermittler konzentrieren sich auf einen zentralen Punkt: Hat X vor dem Start der Bildgenerator-Funktion die gesetzlich vorgeschriebene Datenschutz-Folgenabschätzung durchgeführt? Diese Prüfung ist für risikobehaftete Datenverarbeitungen verpflichtend. Die Behörde will klären, ob X personenbezogene Daten „rechtmäßig, fair und transparent“ verarbeitet hat.

Auslöser der Ermittlung waren Medienberichte über eine Funktion, die es Nutzern ermöglichte, Sicherheitsfilter zu umgehen. Mit simplen Textbefehlen konnten angeblich Fotos von Frauen „entkleidet“ oder kompromittierende Bilder Minderjähriger generiert werden. Datenschützer bewerten dies als schwerwiegenden Eingriff in biometrische Daten und Persönlichkeitsrechte.

Hohe Geldstrafen und europaweiter Druck

Für X drohen erhebliche Konsequenzen. Bei einem Verstoß gegen die DSGVO sind Bußgelder von bis zu 4 Prozent des globalen Jahresumsatzes oder 20 Millionen Euro möglich – je nachdem, welcher Betrag höher ist. Die Untersuchung ist retrospektiv angelegt. Es geht nicht darum, welche Schutzmaßnahmen X nachträglich einführte, sondern ob die Vorkehrungen zum Zeitpunkt der Markteinführung angemessen waren.

Die irische Untersuchung ist Teil einer europaweiten Offensive gegen Musks KI-Ambitionen:

• Die EU-Kommission ermittelt seit dem 26. Januar separat unter dem Digital Services Act (DSA) gegen X. Dieser Fokus liegt auf systemischen Risiken und illegalen Inhalten.
• Großbritanniens Information Commissioner’s Office (ICO) startete am 3. Februar eigene Ermittlungen zu Grok.
• Französische Behörden durchsuchten bereits die Pariser Büros von X.

Die koordinierten Aktionen signalisieren: Die Ära des „Move fast and break things“ ist in Europa vorbei. Regulierer bestehen auf „Safety by Design“ – robuste Schutzvorkehrungen müssen bereits in der Entwicklung integriert sein.

Die neue EU-KI-Verordnung verändert, wer für KI-Systeme verantwortlich ist und welche Dokumentation jetzt Pflicht wird. Unser kostenloses E‑Book fasst kompakt zusammen, welche Kennzeichnungs-, Risikoklassen- und Dokumentationspflichten seit August 2024 gelten – inklusive praktischer Umsetzungs-Tipps für Entwickler und Anbieter. Jetzt kostenlosen KI-Leitfaden zur EU-KI-Verordnung herunterladen

Präzedenzfall für die gesamte KI-Branche

Der Fall markiert einen Wendepunkt. Bislang sahen sich Plattformen primär als Hosts von User-Inhalten. Durch generative KI-Tools wie Grok werden sie jedoch zu Erzeugern von Inhalten. Das verändert die rechtliche Verantwortlichkeit fundamental.

Die Entscheidung der DPC könnte einen Präzedenzfall schaffen: Stellt die Generierung eines Deepfakes bereits eine unrechtmäßige Verarbeitung personenbezogener Daten dar? Eine solche Auslegung würde die gesamte Branche unter Zugzwang setzen. Jeder Anbieter müsste dann vor der Erstellung von Personenbildern die Einwilligung der Betroffenen sicherstellen.

Die irische Behörde, oft für langsame Verfahren kritisiert, zeigt sich in diesem Fall entschlossen. Sie kann während der Untersuchung vorläufige Anordnungen erlassen. Theoretisch könnte X gezwungen werden, die Bildgenerator-Funktion von Grok in Europa sofort auszusetzen, wenn eine akute Gefahr für Betroffene besteht.

Für X beginnt nun ein langwieriger Rechtsprozess, der Monate bis Jahre dauern kann. Das Unternehmen muss detaillierte technische Dokumente vorlegen, die eine vorab durchgeführte Risikobewertung belegen. Fehlen diese Nachweise, wäre bereits das Prinzip der Rechenschaftspflicht aus der DSGVO verletzt. Die Botschaft an die Tech-Welt ist klar: KI-bedingte Schäden werden in Europa nicht länger als „Kinderkrankheiten“ toleriert.