Dublin/San Francisco – Die irische Datenschutzkommission (DPC) verschärft ihr Vorgehen gegen die Social-Media-Plattform X (ehemals Twitter). Im Zentrum der Ermittlungen steht der KI-Chatbot „Grok“. Der Vorwurf: Das System soll die Erstellung missbräuchlicher, intimer Bilder ermöglichen und europäische Datenschutzstandards massiv verletzen.
Die irische Datenschutzbehörde DPC, die als federführende Aufsichtsbehörde für die Einhaltung der Datenschutz-Grundverordnung (DSGVO) durch US-Tech-Konzerne in der EU gilt, hat offiziell eine Untersuchung gegen X eingeleitet. Auslöser sind Berichte über die Funktionsweise des KI-Modells Grok, das von Elon Musks Unternehmen xAI entwickelt und tief in die Plattform X integriert wurde.
Verdacht auf Deepfakes und mangelnden Jugendschutz
Konkret steht der Verdacht im Raum, dass Grok dazu genutzt werden kann, sogenannte „Deepfakes“ zu erstellen – also täuschend echte, sexualisierte Bilder realer Personen ohne deren Einwilligung. Besonders besorgniserregend für die Behörden: Unter den betroffenen Personen befinden sich laut ersten Hinweisen auch Minderjährige.
Graham Doyle, Vize-Kommissar der DPC, erklärte, dass die Behörde bereits seit mehreren Wochen im intensiven Austausch mit dem Unternehmen stehe. Erste Medienberichte hatten gezeigt, dass Nutzer durch gezielte Anfragen die Sicherheitsfilter des Chatbots umgehen konnten, um nicht-einvernehmliche intime Inhalte zu generieren.
Prüfung der DSGVO-Konformität
Das Verfahren der DPC zielt nun darauf ab, die grundlegende Architektur von Grok zu prüfen. Im Fokus stehen dabei drei zentrale Aspekte der DSGVO:
- Rechtmäßigkeit der Verarbeitung: Auf welcher rechtlichen Basis werden die personenbezogenen Daten von EU-Bürgern für das Training und den Betrieb der KI genutzt?
- Privacy by Design: Hat das Unternehmen bereits bei der Entwicklung der Software sichergestellt, dass der Schutz der Privatsphäre technisch gewährleistet ist?
- Datenschutz-Folgenabschätzung (DPIA): Wurde vor der Einführung der KI-Funktionen eine umfassende Risikoanalyse durchgeführt, wie es die EU-Gesetzgebung bei Technologien mit hohem Risiko für die Rechte der Betroffenen vorschreibt?
Hintergrund: Was ist Grok?
Grok ist ein Large Language Model (LLM), das von xAI entwickelt wurde und exklusiv zahlenden Premium-Nutzern auf der Plattform X zur Verfügung steht. Im Gegensatz zu Konkurrenzprodukten wie ChatGPT wird Grok als „rebellisch“ vermarktet und hat Zugriff auf Echtzeit-Daten der Plattform X. Kritiker werfen dem System schon länger vor, dass die Sicherheitsbarrieren (Guardrails) im Vergleich zu anderen Modellen bewusst niedrig gehalten werden, um eine „ungefilterte“ Nutzererfahrung zu bieten.
Mögliche Konsequenzen
Sollte die DPC Verstöße feststellen, drohen dem Unternehmen empfindliche Strafen. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist. Zudem könnte die Behörde die Aussetzung der entsprechenden KI-Dienste in der Europäischen Union anordnen.
X hat sich zu dem laufenden Verfahren bislang nicht detailliert geäußert. Es ist jedoch nicht der erste Konflikt: Bereits im August musste X vorübergehend zusichern, Nutzerdaten aus der EU nicht ohne explizite Zustimmung zum Training von Grok zu verwenden, nachdem die DPC gerichtliche Schritte eingeleitet hatte.
