Die Kritik der Datenschützer
Ende März veröffentliche die italienische Aufsichtsbehörde ("Garante"), dass es dem US-Unternehmen mit sofortiger Wirkung verboten worden sei, Nutzerdaten aus Italien zu verarbeiten. Die Sperre war letztlich eine vorrübergehende Maßnahme. Konkret ging es um mehrere Vorwürfe: Nutzer würden nicht ausreichend informiert, welche Daten von ihnen gespeichert werden. Zudem sei keine Rechtsgrundlage für die Sammlung und Speicherung der Daten ersichtlich.
Aus datenschutzrechtlicher Sicht könnte dies tatsächlich einer der Knackpunkte sein: Weil ChatGPT auf Fragen wie "Wer ist Max Mustermann?" Antworten gibt, ist davon auszugehen, dass durch die Lerntexte auch personenbezogene Daten in das Training des Tools eingeflossen sind. Derzeit sei nicht klar, ob das Start-up überhaupt die Berechtigung zu der Verarbeitung gehabt habe. Letztlich gebe es keine adäquaten Filter beziehungsweise Sperren für Kinder unter 13 Jahren, die laut Geschäftsbedingungen ChatGPT nicht nutzen dürften.
"Die Probleme, die sich im Falle von ChatGPT gezeigt haben, treffen auch auf andere KI-Anwendungen zu. Künftig dürfte spannend sein, wie derartige Unternehmen mit Betroffenenrechten unter der DSGVO umgehen."
Die Garante bezieht sich in ihrer Mitteilung explizit auf einen kurz zuvor bekanntgewordenen Datenvorfall, bei dem Nutzer von ChatGPT teils Informationen aus Profilen Dritter sehen konnten. Dazu gehörten Konversationen mit dem Chatbot, sowie Kontakt- und Zahlungsinformationen.
OpenAI reagierte fristgemäß: Mit einer Altersprüfung und der Option, Widerspruch gegen die Verwendung von Daten einzulegen, wurde die Garante (vorerst) besänftigt. Die Sperrung des KI-Bots ChatGPT wurde Ende April aufgehoben. Die Ermittlungen gehen aber weiter.
Ein Ausblick
Die Probleme, die sich im Falle von ChatGPT gezeigt haben, treffen auch auf andere KI-Anwendungen zu, die ähnlich trainiert wurden. Künftig dürfte spannend sein, wie derartige Unternehmen mit Betroffenenrechten unter der DSGVO umgehen werden. Danach haben Nutzer beispielsweise auch das Recht, dass ihre Daten korrigiert oder gelöscht werden müssen. Ob sich diese Rechte in solchen Systemen problemlos umsetzen lassen, ist fraglich. Auch künftige Entwicklungen in der EU wie der in der Abstimmung befindlichen KI-Verordnung dürften Auswirkungen auf die langfristige Durchsetzung von solchen Anwendungen haben. Bisher wurden vergleichsweise wenige Maßnahmen gegen die Entwicklung von KI-Systemen ergriffen, wenn es um den Datenschutz geht. Aber dabei wird es wohl nicht bleiben.
Melanie Ludolph ist Rechtsanwältin bei Fieldfisher, einer internationalen Wirtschaftskanzlei mit besonderer Expertise im Technologie-, IT- und Datenschutzrecht. Zuvor hat sie mehrere Jahre für ein spezialisiertes Beratungsunternehmen gearbeitet und dort Unternehmen und internationale Konzerne aus unterschiedlichen Branchen zu allen Themen des Datenschutzrechts und angrenzender Rechtsgebiete beraten. Für com! professional stellt Melanie Ludolph jeden Monat aktuelle Themen aus dem IT- und Datenschutzrecht vor.
Kommentar
ChatGPT hat Ärger mit den Datenschützern
Keine Anwendung aus dem Bereich der Künstlichen Intelligenz ging zuletzt so viral wie ChatGPT. Bereits nach kurzer Zeit gab es weltweit mehr als 100 Millionen Nutzer. Datenschutzrechtliche Bedenken sorgten jetzt für die erste datenschutzrechtliche Maßnahme gegen das amerikanische Unternehmen OpenAI.