Die irische Datenschutzaufsicht (Data Protection Commission, DPC) hat ein formelles Verfahren gegen X eröffnet und prüft, ob der Einsatz der KI-Funktion rund um Grok gegen zentrale Pflichten der DSGVO verstößt. Für KI-Anbieter ist das ein Lehrstück: Sobald generative Systeme reale Personen betreffen, wird aus „Feature-Release“ sehr schnell ein Datenschutz- und Sicherheitsfall.
Worum geht es in der Untersuchung?
Laut DPC betrifft die Untersuchung die „scheinbare Erstellung und Veröffentlichung“ potenziell schädlicher, nicht einvernehmlicher intimer bzw. sexualisierter Bilder auf der X-Plattform, die (auch) die Verarbeitung personenbezogener Daten von EU/EWR-Betroffenen einschließen – ausdrücklich inklusive Kindern. Im Fokus steht dabei die generative KI-Funktionalität, die mit dem Grok Large Language Model innerhalb der Plattform verbunden ist, konkret über den @Grok-Account. Rechtsgrundlage für das Verfahren ist ein Inquiry nach Section 110 des irischen Data Protection Act 2018, und X wurde laut DPC am 16. Februar 2026 über den Start informiert.
Die Kernpunkte (und warum sie „KI-typisch“ sind)
Die DPC nennt sehr klar, welche DSGVO-Themen sie prüft: Grundsätze der Verarbeitung (Art. 5), Rechtmäßigkeit/Rechtsgrundlage (Art. 6), „Data Protection by Design and by Default“ (Art. 25) sowie die Pflicht zur Datenschutz-Folgenabschätzung (DPIA, Art. 35). Das passt exakt zu den Risiken, die generative Systeme mit sich bringen: Sie können Inhalte erzeugen, die sich wie „nur Output“ anfühlen, in Wahrheit aber hochsensibel sind, weil sie reale Personen identifizierbar machen oder sexualisierte Darstellungen verbreiten. Entscheidend ist hier der Perspektivwechsel: Datenschutz fragt nicht nur „Was hat das Modell gelernt?“, sondern „Welche personenbezogenen Daten werden im Prozess verarbeitet, und ist das sauber abgesichert?“
Kontext: Warum aus Medienberichten ein offizielles Verfahren wurde
Die DPC sagt, sie habe seit den ersten Medienberichten „vor einigen Wochen“ bereits Kontakt mit X gehabt, weil Nutzer angeblich in der Lage gewesen seien, den @Grok-Account dazu zu bringen, sexualisierte Bilder realer Personen zu generieren, inklusive Kindern. Deputy Commissioner Graham Doyle formuliert das als Übergang von Austausch zu einer „large-scale inquiry“, weil es um „fundamentale“ DSGVO-Pflichten im konkreten Zusammenhang geht. Das ist ein Muster, das man immer häufiger sieht: Erst „Incident/Leak/Report“, dann informelles Engagement, dann formelle Prüfung – besonders, wenn Minderjährige oder nicht einvernehmliche Inhalte berührt werden.
Was das für X (und andere KI-Teams) praktisch bedeuten kann
Weil die DPC als Lead Supervisory Authority für X in EU/EWR auftritt, geht es nicht um eine lokale Randnotiz, sondern um ein Verfahren mit potenziell breiter Wirkung. Inhaltlich wird es für X darauf hinauslaufen, belastbar zu zeigen, welche Rechtsgrundlage(n) sie für die Verarbeitung wählen, wie „Privacy by Design/Default“ konkret umgesetzt wurde (z. B. Schutzmechanismen, Defaults, Missbrauchsverhinderung) und ob eine DPIA erforderlich war und durchgeführt wurde. Für andere Anbieter ist die Lehre unbequem, aber simpel: „Wir haben Filter“ reicht nicht als Sicherheits-Story – gefragt sind nachweisbare Prozesse, Voreinstellungen, Risikoanalysen und dokumentierte Entscheidungen.
Wenn du dir das als Leser einmal ganz konkret vorstellst: Welche „Privacy by Design“-Maßnahme würdest du bei einer generativen KI als Mindeststandard erwarten, bevor so eine Funktion für Millionen Nutzer live geht?
