Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in der Schweiz prüfte informell das Training der Grok-KI von Elon Musk mit Nutzerdaten von Twitter / X.
Im Ergebnis seiner Vorabklärung geht der EDÖB davon aus, dass Twitter / X die Vorgaben des schweizerischen Datenschutzgesetzes (DSG) erfüllt. Im Übrigen verweist der EDÖB auf die Eigenverantwortung der Nutzer.
Der EDÖB ist die schweizerische Datenschutz-Aufsichtsbehörde für Bundesbehörden und private Personen wie insbesondere Unternehmen.
Der EDÖB informierte mit einer kurzen Mitteilung über den Abschluss seiner Vorabklärung «X (vormals Twitter): Verwendung von Personendaten für das Training der KI Grok».
Wie lief das Verfahren gegen Twitter / X beim EDÖB?
Vorgeschichte:
«Der EDÖB kontaktierte im Rahmen einer informellen Vorabklärung die Betreiberin der Plattform X, die Twitter International Unlimited Company (TIUC), nachdem im Frühsommer 2024 bekannt wurde, dass TIUC Daten von Nutzerinnen und Nutzern der Plattform X für das Training der KI Grok verwendete. In diesem Rahmen wurde abgeklärt, wie transparent diese Datenbearbeitungen waren und welche Ablehnungsmöglichkeiten zur Verfügung standen.»
Reaktion von Twitter / X:
«Das Unternehmen bezeichnete während der Vorabklärung eine Vertretung in der Schweiz und lieferte sodann konkrete Angaben zur Bearbeitung von öffentlichen Beiträgen («Posts») zum Zweck des Trainings von Modellen des maschinellen Lernens und der künstlichen Intelligenz, einschliesslich generativer Modelle.»
Und:
«Insbesondere setzte TIUC den EDÖB über die seit dem 16. Juli 2024 eingeführte Widerspruchsmöglichkeit in Kenntnis. Diese erlaubt es den Nutzerinnen und Nutzern, in den Datenschutzeinstellungen die voreingestellte Verwendung ihrer X-Beiträge für das Training und die Feinabstimmung von Grok abzulehnen. »
Ergebnis:
«Der EDÖB kam zum Schluss, dass das Unternehmen mit dieser auch in der EU angebotenen Widerspruchsmöglichkeit die Vorgaben des DSG erfüllt.»
Wieso mussten die Nutzer nicht in das KI-Training einwilligen?
Das Ergebnis entspricht grundsätzlich dem schweizerischen Datenschutzrecht. Im schweizerischen Datenschutzrecht ist die Einwilligung («Opt-in») der betroffenen Personen die Ausnahme und nicht die Regel.
Verantwortliche dürfen Personendaten bearbeiten, sofern sie die datenschutzrechtlichen Grundsätze und Pflichten einhalten.
Dazu zählen beispielsweise die Grundsätze der Erforderlichkeit (Art. 6 Abs. 4 DSG), Verhältnismässigkeit (Art. 6 Abs. 2 DSG) und Zweckbestimmtheit (Art. 6 Abs. 3 DSG), aber auch die Pflicht zur Information der betroffenen Personen (Art. 19 DSG).
Im Gegenzug können betroffene Personen jederzeit Widerspruch gegen die Bearbeitung ihrer Daten erheben («Opt-out», Art. 30 Abs. 2 lit. b DSG).
Die Einwilligung dient im schweizerischen Datenschutzrecht im Wesentlichen als ein möglicher Rechtfertigungsgrund, wenn die Bearbeitung von Daten die betroffenen Personen widerrechtlich in ihrer Persönlichkeit verletzt (Art. 31 Abs. 1 DSG).
Das datenschutzrechtlich richtige Ergebnis fällt auf, weil der EDÖB in letzter Zeit den Eindruck erweckte hatte, im Zweifelsfall sei die Einwilligung der betroffenen Personen erforderlich, und es gälten hohe Anforderungen an die Informationspflicht.
Gemäss dem neuen EDÖB-Leitfaden über «Datenbearbeitungen mittels Cookies und ähnlichen Technologien» (PDF) beispielsweise soll für den Einsatz von Cookies und dergleichen immer die Einwilligung der betroffenen Personen erforderlich sein.
Gemäss dem gleichen Leitfaden soll die Information immer mehrstufig erfolgen müssen und sich nicht allein an betroffene Personen richten dürfen, sondern auch an Aufsichtsbehörden, Fachpersonen und Journalisten.
Gleichzeitig bestätigt der EDÖB mit dem Ergebnis, dass er sich nicht als «Anwalt der betroffenen Personen» sieht.
Die betroffenen Personen fordert der EDÖB dazu auf, ihre Eigenverantwortung wahrzunehmen:
«Bei der Verwendung von Daten für das Training von Grok stehen neben TIUC auch die Nutzerinnen und Nutzer der Plattform X in der Verantwortung, von den zur Verfügung gestellten Gestaltungsmöglichkeiten zur Verwendung der eigenen Daten Gebrauch zu machen.»
Schliesslich ist die Vorabklärung ein Beispiel für die Vorliebe des EDÖB, ausdrücklich informell zu handeln anstatt formelle verwaltungsrechtliche Verfahren zu führen.
Wieso fliessen Daten von der EDÖB-Website zu Twitter / X?
Was Twitter / X betrifft, so fällt auf, dass der EDÖB anhaltend Elon Musk über alle Besucherinnen und Besucher seiner Website unter edoeb.admin.ch informiert.
Wenn jemand die EDÖB-Website besucht, wird die JavaScript-Datei widgets.js von platform.twitter.com geladen. Elon Musk bzw. Twitter / X erfahren dadurch nicht nur, wer die EDÖB-Website besucht, sondern können beliebigen ausführbaren Code in JavaScript-Form in die Website einschleusen.
In seiner Datenschutzerklärung erwähnt der EDÖB die Twitter / X-Integration nicht ausdrücklich. Es ist auch nicht ersichtlich, wie Website-Besucher der Übermittlung ihrer Daten an Elon Musk widersprechen könnten.
Wer nicht möchte, dass Elon Musk vom Besuch der EDÖB-Website informiert wird, muss die Übermittlung der Daten selbst im eigenen Browser blockieren. Je nach Browser und Einstellungen wird die Twitter / X-Integration automatisch blockiert oder man muss mit einer Browser-Erweiterung nachhelfen.
Die Integration von Twitter / X in die Website einer Datenschutz-Aufsichtsbehörde dürfte in Europa einzigartig sein. Die Integration in die EDÖB-Website hat aber eine lange Tradition, denn sie war schon 2019 zu beobachten, wie die Folien zu einem damaligen Vortrag zeigen.
Nachtrag 1: Verletzt Twitter / X den Grundsatz der Zweckbestimmheit?
Anwaltskollege Daniel Kettiger verweist bei LinkedIn auf den Grundsatz der Zweckbestimmheit:
«Die Nutzung von Personendaten, die jemand auf Twitter als Mitteilung an andere oder zur Selbstdarstellung veröffentlicht hat, zum Zweck des Trainings einer KI ist klar erkennbar nicht zweckkonform und mithin eine [widerrechtliche] Persönlichkeitsverletzung.»
Der Grundsatz der Zweckbestimmheit gemäss Art. 6 Abs. 3 DSG lautet wie folgt:
« Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist.»
Der EDÖB thematisierte diesen Punkt in der kurzen Mitteilung zu seiner Vorabklärung nicht. Für die Erkennbarkeit müsste geprüft werden, ob das KI-Training in den früheren Datenschutzerklärungen direkt oder indirekt als Zweck erwähnt wurde.
In rechtlicher Hinsicht könnte Twitter / X gegen den Vorwurf einer widerrechtlichen Persönlichkeitsverletzung argumentieren, beim KI-Training handle es sich um eine Bearbeitung von Personendaten für nicht personenbezogene Zwecke gemäss Art. 31 Abs. 2 lit. e DSG.
Eine solche Bearbeitung könnte ein überwiegendes privates Interesse darstellen und entsprechend eine allfällige Persönlichkeitsverletzung heilen.
Der Einwand von Anwaltskollege Kettiger zeigt, dass es problematisch ist, wenn der EDÖB eine bestimmte Bearbeitung von Personendaten absegnet, ohne seien Erwägungen offenzulegen.
Nachtrag 2: xAI kauft Twitter / X mit allen Nutzerdaten
Ende März 2025 wurde bekannt, dass das KI-Unternehmen xAI, das hinter der Grok-KI steht, Twitter / X gekauft. hat
Die Transaktion umfasst alle Nutzerdaten von Twitter / X.
xAI und Twitter / X gehörten bzw. gehören jeweils mehrheitlich Elon Musk. Mit der Transaktion von einer Tasche in die andere konnte Elon Musk mutmasslich den finanziellen Ruin abwenden, nachdem der Aktienkurs von Tesla sich seit Dezember 2024 mehr als halbiert hatte.