Die Plattform X (ehemals Twitter) nutzt öffentliche Nutzerbeiträge zum Training der KI Grok – und der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat diese Praxis nun geprüft. Erfahren Sie, welche Rechte Nutzer haben und worauf Unternehmen achten sollten.
Hintergrund der Vorabklärung
Im Frühsommer 2024 wurde bekannt, dass die Betreiberin der Plattform X, die Twitter International Unlimited Company (TIUC), öffentliche Beiträge von Nutzerinnen und Nutzern für das Training ihrer KI Grok verwendet. Der EDÖB nahm daraufhin eine informelle Vorabklärung vor, die am 20. März 2025 abgeschlossen wurde. Anlass für diese Vorabklärung war die Frage, ob TIUC den Anforderungen des schweizerischen Datenschutzgesetzes (DSG) gerecht wird.
Juristische Grundlagen und Analyse
Grok ist die hauseigene KI von X, die entwickelt wurde, um Inhalte auf der Plattform zu analysieren und Nutzenden personalisierte Informationen und Antworten bereitzustellen. Um Grok zu trainieren und fortlaufend zu verbessern, verwendet X öffentliche Beiträge von Nutzerinnen und Nutzern, einschliesslich Posts, Interaktionen und ähnliche Inhalte.
Die Bearbeitung dieser Daten berührt zentrale Vorgaben des Schweizer Datenschutzgesetzes: Personendaten dürfen nur mit Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Grundlage bearbeitet werden (Art. 6 Abs. 1 DSG). Zudem muss jede Bearbeitung transparent erfolgen (Art. 8 DSG) und dem Grundsatz der Zweckbindung entsprechen (Art. 6 Abs. 3 DSG). Das bedeutet, dass Daten nicht für andere Zwecke als die ursprünglich erhobenen verwendet werden dürfen, es sei denn, eine neue Rechtsgrundlage oder Einwilligung liegt vor.
Die Verwendung von öffentlichen Beiträgen für das Training von KI-Systemen stellt eine bedeutende Bearbeitung personenbezogener Daten dar, auch wenn diese Beiträge prinzipiell öffentlich zugänglich sind. Besonders kritisch ist hierbei, dass auch scheinbar harmlose öffentliche Informationen im Kontext von KI-Analysen neue sensible Erkenntnisse über Personen generieren können.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) überprüfte daher im Rahmen der informellen Vorabklärung insbesondere:
- Die Transparenz der Datenbearbeitung (Art. 8 DSG)
- Die Einhaltung der Rechte der betroffenen Personen, insbesondere das Recht auf Widerspruch (Art. 30 DSG)
TIUC teilte dem EDÖB mit, dass Nutzerinnen und Nutzern seit dem 16. Juli 2024 eine explizite Widerspruchsmöglichkeit über die Datenschutzeinstellungen der Plattform zur Verfügung steht. Durch einen einfachen Opt-out können Nutzende verhindern, dass ihre Beiträge weiterhin zum Training von Grok verwendet werden.
Zudem wurde eine Vertreterin in der Schweiz gemäss Art. 14 DSG benannt, was eine zentrale Voraussetzung ist, damit ausländische Unternehmen in der Schweiz Daten rechtmässig bearbeiten dürfen.
Der EDÖB kam abschliessend zum Ergebnis, dass die von TIUC eingeführte Widerspruchsmöglichkeit sowie die Erklärungen zur Datenverarbeitung den Vorgaben des DSG genügen. Dennoch bleiben Nutzerinnen und Nutzer wie auch Unternehmen weiterhin gefordert, die Kontrolle über ihre Daten proaktiv wahrzunehmen.
Praktische Auswirkungen und Empfehlungen
Die Vorabklärung des EDÖB verdeutlicht sowohl für Privatnutzer als auch für Unternehmen die Notwendigkeit, aktiv Einfluss auf die Nutzung ihrer Daten zu nehmen. Nutzerinnen und Nutzer von X sollten ihre Datenschutzeinstellungen regelmässig überprüfen und gegebenenfalls der voreingestellten Verwendung ihrer öffentlichen Beiträge für das Training von Grok widersprechen. Nur durch eine bewusste Verwaltung der eigenen Datenschutzeinstellungen lässt sich verhindern, dass Inhalte ungewollt für KI-Zwecke verwendet werden. Zudem sollten sich Privatnutzer bewusst sein, dass auch öffentlich geteilte Inhalte unter Umständen eine unerwünschte Zweitnutzung erfahren können und daher vorsichtig bei der Veröffentlichung sensibler Informationen sein.
Unternehmen, die Social-Media-Plattformen wie X beruflich einsetzen, stehen ebenfalls in der Verantwortung: Sie müssen sicherstellen, dass veröffentlichte Inhalte nicht unbeabsichtigt in das Training von KI-Systemen einfliessen. Hierzu gehört es, die internen Datenschutzrichtlinien entsprechend anzupassen und Mitarbeitende für die Risiken der Plattformnutzung zu sensibilisieren. Zusätzlich sollten Unternehmen interne Schulungen anbieten, Social-Media-Nutzungsrichtlinien überarbeiten und prüfen, ob eine explizite Widerspruchserklärung erforderlich ist. Compliance-Abteilungen sind aufgerufen, technologische Entwicklungen eng zu verfolgen, proaktiv Risikoanalysen durchzuführen und ihre internen Vorgaben kontinuierlich an neue regulatorische sowie technologische Entwicklungen anzupassen. Nur durch einen umfassenden und vorausschauenden Datenschutzansatz kann sichergestellt werden, dass Unternehmensinhalte nicht unbeabsichtigt in KI-Systeme einfliessen.
Weitere Entwicklungen: Auch Meta nutzt öffentliche Inhalte für KI-Training
Die Vorabklärung des EDÖB zur Nutzung öffentlicher Beiträge bei X fällt in eine Zeit, in der immer mehr Unternehmen ähnliche Ansätze verfolgen. Besonders hervorzuheben ist hier Meta Platforms, das ab dem 27. Mai 2025 beginnen wird, öffentliche Inhalte europäischer Nutzerinnen und Nutzer auf Facebook und Instagram zur Weiterentwicklung seines KI-Assistenten „Meta AI“ zu verwenden.
Auch bei Meta haben Nutzerinnen und Nutzer die Möglichkeit, der Nutzung ihrer öffentlichen Inhalte für das KI-Training zu widersprechen. Hierfür stellt Meta ein Online-Formular bereit, bei dem lediglich die E-Mail-Adresse des jeweiligen Kontos angegeben werden muss. Die Frist für den Widerspruch läuft bis zum 26. Mai 2025.
Für Privatnutzer wird es immer wichtiger, sich der eigenen Datenspur bewusst zu sein und aktiv von angebotenen Widerspruchsmöglichkeiten Gebrauch zu machen. Auch wenn Plattformbetreiber wie TIUC oder Meta bestimmte Schutzmechanismen implementieren, bleibt das primäre Risiko bestehen: Was einmal öffentlich geteilt wurde, kann im Rahmen von KI-Trainingsprozessen weiterverwendet und analysiert werden.
Fazit und Handlungsempfehlungen
Die Entscheidung des EDÖB zur Vorabklärung betreffend das KI-Training bei X zeigt erneut, wie essenziell Transparenz und Nutzerautonomie im Datenschutzrecht sind. Die eingeführte Widerspruchsmöglichkeit stellt eine Mindestvoraussetzung dar, schliesst jedoch nicht alle Risiken aus. Nutzer wie Unternehmen sind gefordert, ihre Einstellungen aktiv zu verwalten und die Auswirkungen von KI-Technologien auf ihre Daten ernst zu nehmen. Compliance-Teams müssen neue Entwicklungen eng verfolgen und sicherstellen, dass Mitarbeitende über die Folgen der Nutzung von Plattformen wie X, Facebook oder Instagram für das KI-Training informiert sind.
Die Prüfung durch den EDÖB hat grundsätzliche Bedeutung für die künftige Handhabung von KI-Projekten in der Schweiz. Sie zeigt, dass der EDÖB bereit ist, proaktiv auf Entwicklungen im Bereich der Künstlichen Intelligenz zu reagieren und Transparenz sowie Nutzungsrechte konsequent einzufordern. Für Unternehmen, die KI in der Schweiz einsetzen oder entwickeln, entsteht damit ein klareres Bild der regulatorischen Erwartungen: Datenschutz und die Wahrung von Nutzerrechten sind zentrale Voraussetzungen für die Zulässigkeit von KI-Anwendungen. Diese Grundsätze werden künftig noch stärker in die Praxis und Entwicklung neuer Technologien einfliessen müssen.
Für Privatnutzer wird es immer wichtiger, sich der eigenen Datenspur bewusst zu sein und aktiv von angebotenen Widerspruchsmöglichkeiten Gebrauch zu machen. Auch wenn Plattformbetreiber bestimmte Schutzmechanismen implementieren, bleibt das primäre Risiko bestehen: Was einmal öffentlich geteilt wurde, kann im Rahmen von KI-Trainingsprozessen weiterverwendet und analysiert werden.