Verfahren gegen OpenAI: Verletzt ChatGPT den Datenschutz?
Die deutschen Landesdatenschutzbeauftragten haben eine Taskforce KI (Künstliche Intelligenz) gegründet und ChatGPT ins Visier genommen. Gegen OpenAI, den Entwickler und Betreiber des textgenerierenden KI-Dienstes, wurden Verwaltungsverfahren eröffnet. Bis Anfang Juni soll das Unternehmen einen mehrseitigen Fragenkatalog beantworten, der diese Woche verschickt wurde.
Worum es den Datenschützern geht
Für das sogenannte Training, den „Lernprozess“ einer KI-Anwendung, wird ein enormes Datenvolumen aus dem Internet verwendet. Welche Quellen dabei für ChatGPT konkret genutzt, welche Daten erfasst und wie diese verarbeitet wurden, ist nicht bekannt. Zu diesen Punkten soll OpenAI nun Transparenz schaffen. Denn die Datenschutzexperten gehen davon aus, dass hier auch personenbezogene Daten herangezogen wurden. Und für deren Verarbeitung gelten in der Europäischen Union strenge Vorschriften.
Dieter Kugelmann, Leiter der Taskforce KI, betont, dass es für die Verwendung solcher Daten immer einer Rechtsgrundlage bedürfe. Anderenfalls könnte der Betrieb von ChatGPT als rechtswidrig eingestuft werden. Neben den Trainingsdaten interessieren sich die Datenschützer auch dafür, wie Open AI mit sensiblen Daten umgeht, die vom Anwender selbst eingegeben werden. Diese werden zwar bewusst und freiwillig bereitgestellt, ihre Weiterverarbeitung unterliegt jedoch ebenfalls klaren Bestimmungen.
Die Nutzung personenbezogener Daten könnte für OpenAI zum Problem werden
Artikel 6 der europäischen Datenschutzverordnung DSGVO zählt die Bedingungen auf, unter denen eine Verarbeitung rechtmäßig ist. Bei ChatGPT kommen grundsätzlich nur zwei Möglichkeiten in Betracht: eine Einwilligung der betroffenen Personen oder ein „berechtigtes Interesse“ von OpenAI. Auf eine Zustimmung der Betroffenen kann sich das Unternehmen möglicherweise bei von den Nutzern eingegebenen Daten, nicht jedoch bei den Trainingsdaten berufen. Ob ein berechtigtes Interesse besteht, bedarf einer juristischen Prüfung, für die zunächst die Antworten auf den Fragenkatalog vorliegen müssen.
Eine weitere, vielleicht noch größere Herausforderung sind die Rechte der Betroffenen (Art. 12 – 23). Dazu gehört beispielsweise die Auskunft über verarbeitete personenbezogene Daten, deren Löschung oder Berichtigung. KI-Experten bezweifeln, dass entsprechende Forderungen bei den Trainingsdaten umsetzbar wären, da diese vermutlich ungefiltert aus dem Internet abgezogen wurden (Scraping). Für Daten aus Chatverläufen sind hingegen zumindest Optionen wie eine Löschfunktion vorhanden. Ob deren Verarbeitungslogik den rechtlichen Anforderungen genügt, ist jedoch bislang unklar.
Wird ChatGPT in Deutschland verboten?
Was wird passieren, wenn im Rahmen der Verwaltungsverfahren gravierende Verletzungen der Datenschutzverordnung festgestellt werden? Der Bundesdatenschutzbeauftragte Kelber hält in diesem Fall ein Verbot von ChatGPT für denkbar. Kugelmann hat hingegen erklärt, dass ein Verbot nicht beabsichtigt sei, sondern der rechtmäßige Betrieb geklärt und sichergestellt werden solle.
Für OpenAI ist die Thematik nicht auf den deutschen Markt begrenzt. Das Unternehmen ist aktuell in mehreren Ländern innerhalb und außerhalb der EU mit ähnlichen Verfahren konfrontiert. Und hat dabei bereits unangenehme Erfahrungen gemacht: In Italien wurde der Betrieb von ChatGPT bis zur Erfüllung behördlicher Auflagen vorläufig für illegal erklärt.