Datenschutzwoche
Nach ChatGPT und Deepseek: Jetzt steht auch das KI-Modell Grok von X auf dem datenschutzrechtlichen Prüfstand
Die irische Datenschutzaufsichtsbehörde (DPC) hat am 11. April 2025 eine Untersuchung gegen die X Internet Unlimited Company (XIUC) eingeleitet. Gegenstand der Untersuchung ist die Verwendung von öffentlich zugänglichen Beiträgen von Menschen aus der EU/dem EWR auf der Plattform „X“ (früher Twitter) für das Training von generativen KI-Modellen, insbesondere des Grok-LLM von xAI.
xAI ist ein im Jahr 2023 von Elon Musk gegründetes US-Unternehmen, das auf Künstliche Intelligenz spezialisiert ist. Das Unternehmen ist vor allem durch seinen KI-Chatbot „Grok“ bekannt. Wie andere moderne Large Language Models (LLM) wurden auch die Grok LLMs auf der Grundlage einer Vielzahl von Daten entwickelt und trainiert.
Die irische Datenschutzaufsicht prüft nun, ob das Training von Grok mit personenbezogenen Daten von Menschen aus der EU/dem EWR mit Blick auf die DSGVO rechtmäßig war. Die Untersuchung ist Teil eines breiteren europäischen Bemühens, einheitliche Regeln für den datenschutzkonformen Einsatz von KI zu schaffen.
Koalitionsvertrag 2025 – Aussagen zum Datenschutz
In der vergangenen Woche haben die Spitzen von Union und SPD den Entwurf ihres Koalitionsvertrags vorgestellt. Demnach soll das Datenschutzrecht „entbürokratisiert“ werden. Dazu will sich die neue Bundesregierung auch für eine Änderung der Datenschutzgrundverordnung (DSGVO) auf EU-Ebene einsetzen.
Im Entwurf des Koalitionsvertrags steht (S.67, S.70), dass die Datenschutzaufsicht reformiert und bei dem oder der Bundesbeauftragten für den Datenschutz (BfDI) gebündelt und um die Zuständigkeit für die Datennutzung erweitert werden soll. Ziel ist es, „aufwändige (datenschutzrechtliche) Einwilligungslösungen“ zu vereinfachen, indem für eine komfortablere Nutzung staatlicher Serviceleistungen verstärkt auf „unbürokratische Widerspruchslösungen“ gesetzt wird.
Die Datenschutzkonferenz soll im Bundesdatenschutzgesetz (BDSG) gesetzlich verankert werden, um einheitliche Standards zu fördern.
Auf europäischer Ebene soll erreicht werden, dass nicht-kommerzielle Tätigkeiten (z. B. in Vereinen), kleine und mittlere Unternehmen und risikoarme Datenverarbeitungen (z. B. Kundenlisten von Handwerkern) vom Anwendungsbereich der Datenschutzgrundverordnung ausgenommen werden.
Internationale Nachrichten
- Europa: Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien für die Verarbeitung personenbezogener Daten durch Blockchain-Technologien veröffentlicht.
- Europa: Der EDSA hat in seiner zweiten Stellungnahme zur Umsetzung der PNR-Richtlinie Hinweise und praktische Empfehlungen zu deren nationaler Umsetzung gegeben.
- Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat mehrere Projekte zum Einsatz von künstlicher Intelligenz im öffentlichen Sektor begleitet. Ziel war es, gemeinsam mit den Projektträgern datenschutzfreundliche Lösungen zu entwickeln und praktische Empfehlungen auszusprechen.
Aktuelle Gerichtsentscheidungen
LG Darmstadt, Urteil vom 09.10.2024, Az. 13 O 227/23 (GRUR-RS 2024, 44351): Immaterieller Schadenersatz – Ein Kontrollverlust über personenbezogene Daten als Schaden im Rahmen von Art. 82 I, II DSGVO kann nicht eintreten, wenn diese bereits öffentlich einsehbar waren. Dies gilt auch für Daten, die bei einer Registrierung anzugeben sind. Hiermit hat der Kläger bewusst auf die Kontrolle seiner Daten verzichtet.
LAG Köln, Urteil vom 19.02.2025, Az. 4 SLa 367/24 (juris): Immaterieller Schadenersatz – Der Kläger macht geltend, er sei durch die unvollständige Auskunft der Beklagten seit dem 16.08.2024 bis zum 05.12.2024 in Unkenntnis der Namen der Dienstleister gewesen, die seine Daten für die Beklagte verarbeitet haben. Hierdurch habe er einen Kontrollverlust erlitten. Dem ist nicht zu folgen. Nicht jede verspätete Auskunft gem. Art. 15 DSGVO führt zu einem Kontrollverlust i.S.d. Erwägungsgrunds 85 S. 1 DSGVO, den der Gerichtshof der Europäischen Union als Schaden i.S.d. Art. 82 Abs.1 DSGVO ansieht.
LG Hamburg, Beschluss vom 04.03.2025, Az. 625 Qs 6/25 OWi (juris): Bußgeldverfahren – Es wird festgestellt, dass die mit Bescheid des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 13. Januar 2025 erfolgte Bewilligung der Herausgabe von Teilen des gegen die H. H. & M. Online Shop A. & Co. KG sowie die H. H. & M. G. AB erlassenen Bußgeldbescheids vom 30. September 2020 und Teilen des Schreibens von O. C. an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 21. August 2020 aus der Bußgeldakte rechtmäßig ist.
Neuigkeiten aus den Aufsichtsbehörden:
- Datenschutzaufsicht Hamburg:„Datenschutzsprechstunde zum 33. Tätigkeitsbericht Datenschutz am 15. April 2025“ – Pressemitteilung vom 09.04.2025
- Landesdatenschutzbeauftragte Schleswig-Holstein: „Datenschutzbericht 2025 – Mehr Beschwerden, mehr Datenpannen … und jetzt auch noch mehr Datenrecht: Das Unabhängige Landeszentrum für Datenschutz hilft“ – Pressemitteilung vom 09.04.2025; Tätigkeitsbericht
- Datenschutzaufsicht Hessen: „4. Datenschutztag Hessen & Rheinland-Pfalz: Information Overload?“ – Pressemitteilung vom 10.04.2025
- Die Bundesbeauftragte für den Datenschutz und Informationsfreiheit: „BfDI stellt 33. Tätigkeitsbericht vor“ – Pressemitteilung vom 10.04.2025
- Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „BfDI steht für die Bündelung der Aufsicht zur Verfügung“ – Pressemitteilung vom 10.04.2025, Tätigkeitsbericht
- Datenschutzaufsicht Nordrhein-Westfalen:„Diese Pläne bringen weder Bürokratieabbau noch sparen sie Kosten. Sie nehmen den Unternehmen, den Bürger*innen und auch der Politik Service, Rechte und Gestaltungsmöglichkeiten“ – Pressemitteilung vom 10.04.2025
- Datenschutzaufsicht Baden-Württemberg: „Datenschutz, öffentliche Stellen, Tik Tok“ – Pressemitteilung vom 10.04.2025
- Datenschutzaufsicht Mecklenburg-Vorpommern: „LfDI MV warnt öffentliche Stellen vor Cloud Computing mit Anbietern aus Drittländern“ – Pressemitteilung vom 11.04.2025
- Datenschutzaufsicht Baden-Württemberg: „LfDI über die Ergebnisse der Koalitionsverhandlungen in Berlin“ – Pressemitteilung vom 11.04.2025
- Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs veröffentlicht Tätigkeitsbericht 2024