Es geht in die nächste Runde. Nun wird auch in Deutschland untersucht, ob OpenAI sich an die DSGVO hält. Nachdem deutsche Datenschutzaufsichtsbehörden eine Prüfung des Datenschutzes bei ChatGPT angekündigt haben, geben der Hessische Datenschutzbeauftragte und die Datenschutzaufsichtsbehörde Baden-Württemberg mittels Pressemitteilungen Einblicke in das laufende Verfahren.
Der Inhalt im Überblick
Fragenkatalog an OpenAI
Aus den Pressemitteilung der beiden Behörden vom 19. und 24. April lässt sich entnehmen, dass das in San Francisco ansässige Unternehmen OpenAI, das den derzeit vieldiskutierten Dienst ChatGPT betreibt, aufgefordert wurde, einen Fragenkatalog zur Datenverarbeitung bei ChatGPT zu beantworten. Die Fragen wurden zwischen den Aufsichtsbehörden der Länder in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Eine Antwort wird wohl bis Mitte Juni erwartet.
Die Fragen aus dem Katalog beziehen sich insbesondere darauf, ob die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien gerecht wird, ob sie auf einer gültigen Rechtsgrundlage beruht und ob sie für die Betroffenen ausreichend transparent ist. Zum Schutz von Kindern und Jugendlichen wird zudem gefragt, welche Altersgrenze für die Nutzung von ChatGPT bestimmt ist, wie die Einhaltung der Altersgrenze überprüft wird und ob für alle Nutzenden unter 16 Jahren die Einwilligung der Erziehungsberechtigten eingeholt wird. Ferner wird erfragt, ob die Nutzungsdaten als Trainingsdaten im Rahmen des maschinellen Lernens verwendet werden, welche Quellen für die Auskünfte über Personen genutzt werden und für welche Zwecke Nutzungsdaten gespeichert werden.
Warum ist ChatGPT problematisch?
Für die Weiterentwicklung von ChatGPT nutzt die KI unter anderem die Benutzereingaben von mittlerweile mehreren Millionen Privatpersonen und Unternehmen. Dabei ist nicht auszuschließen, dass auch persönliche und sensible Informationen verarbeitet werden – so wie in Italien, wo eine Datenpanne zur Preisgabe persönlicher Informationen in fremden Chats führte.
„Je nach Fragen- oder Aufgabenstellung an ChatGPT gibt die nutzende Person unterschiedlich viele, teils sensitive Informationen von sich preis – etwa zu Interessen an politischen, religiösen, weltanschaulichen oder wissenschaftlichen Fragen oder zu ihrer familiären oder sexuellen Lebenssituation. Auch können Fragen über andere Personen gestellt werden. Unklar ist, zu welchen Zwecken eingegebene Daten verarbeitet werden und aus welchem Datenpool die hinter dem Dienst liegende, künstliche Intelligenz ihr Wissen speist. Erst wenn diese Fragen beantwortet wurden, kann ich prüfen, ob sich OpenAI mit ChatGPT an die europäischen Datenschutzvorgaben hält,“
erklärt Roßnagel, der Hessische Datenschutzbeauftragte.
Für die Beurteilung bzw. Einschätzung des Dienstes ist es eine Herausforderung, dass Angaben über die Datenquellen fehlen, keine Informationen über die Algorithmen hinter der automatisierten Datenverarbeitung öffentlich gemacht werden und es nicht bekannt ist, ob Daten an Dritte mit kommerziellen Interessen weitergegeben werden.
Nach der DSGVO muss ein Anbieter von Leistungen, bei denen personenbezogene Daten verarbeitet werden, jedoch unter anderem erklären können, welche Daten wie und zu welchem Zweck verarbeitet werden. Auch muss er angemessene technische und organisatorische Maßnahmen treffen, um diese personenbezogenen Daten zu sichern und dabei besondere Regelungen treffen, wenn er sensible Daten verarbeiten will – wie etwa Informationen zu Gesundheitszustand, zur sexuellen Identität, zur Weltanschauung oder zur familiären und auch finanziellen Situation. Zudem muss der Anbieter die Rechte von Betroffenen wahren, wie etwa das Recht auf Berichtigung oder Auskunft.
Zuständigkeit der europäischen Datenschutzbehörden
Da OpenAI keine Niederlassung in der EU unterhält, sind alle europäischen Datenschutzaufsichtsbehörden dafür zuständig, in ihrem jeweiligen örtlichen Zuständigkeitsbereich die Einhaltung der DSGVO durch das Unternehmen zu überwachen.
Wie wird es weitergehen?
Eine sichere Möglichkeit, ChatGPT zu nutzen und gleichzeitig DSGVO-konform zu bleiben, gibt es aktuell nicht. Die Frage ist nun, wie es weitergehen wird. Hierzu äußert sich Roßnagel wie folgt:
„Sobald uns die Antwort von OpenAI vorliegt, werde ich mich mit den anderen Aufsichtsbehörden in Deutschland und Europa in der Bewertung der Antworten abstimmen. Als Reaktion auf die Bewertung kann ich nach der DS-GVO vielfältige und wirksame Instrumente nutzen. Dabei geht es mir nicht darum, der gesellschaftlichen Bewertung von KI-Systemen vorzugreifen. Vielmehr fordere ich von amerikanischen KI-Anbietern den gleichen Datenschutz wie von europäischen Anbietern.“
Die Quintessenz ist: Nutzer müssen dem technischen Fortschritt vertrauen können.
Eine Blockade ist – zumindest vorerst – wohl noch nicht geplant. Neben den deutschen Aufsichtsbehörden sind auch noch weitere europäische Datenschutzbehörden, wie beispielsweise die irische Datenschutzbehörde, aktiv. In Italien ist ChatGPT weiterhin blockiert. Es bleibt also abzuwarten, ob OpenAI reagieren wird und welche Antworten gegeben werden. Wenn das Unternehmen die Vorwürfe nicht ausräumen kann, könnte sich die Entscheidung auf weitere Länder auswirken. Dann wäre sogar ein Verbot in der kompletten EU denkbar. Aber so weit ist es bisher noch nicht …
Praxistaugliches Regelwerk für die Anwendung von KI
Gefordert wird ein praxistaugliches Regelwerk für die Anwendung von KI in Europa. An einem solchen Regelwerk wird momentan seitens der EU gearbeitet. Es wird noch in diesem Jahr erwartet und soll die Vorschriften für KI-Systeme in den Mitgliedsstaaten der EU in Einklang bringen. Es bleibt daher spannend, wie sich die Thematik fortentwickelt.