Inhalt
summary Zusammenfassung

Der Europäische Datenschutzausschuss (EDSA) hat einen vorläufigen Bericht über Untersuchungen zu ChatGPT durch nationale Datenschutzbehörden veröffentlicht. Die Behörde sieht mehrere problematische Praktiken bei der Verarbeitung personenbezogener Daten durch OpenAI.

Bis zum 15. Februar 2024 hatte OpenAI keinen Geschäftssitz in der EU, weshalb die nationalen Aufsichtsbehörden unabhängig voneinander Untersuchungen einleiten konnten. Mit der Gründung von OpenAI Ireland Limited fällt das Unternehmen nun unter den sogenannten One-Stop-Shop-Mechanismus. Dadurch wird voraussichtlich die irische Datenschutzbehörde die Hauptverantwortung für die Aufsicht über OpenAI in Europa übernehmen.

Die Task Force des EDSA entwickelte einen gemeinsamen Fragenkatalog, der OpenAI von mehreren Behörden vorgelegt wurde. Dieser enthält Fragen zu verschiedenen Aspekten des Datenschutzes, wie zum Beispiel zur Rechtsgrundlage der Datenverarbeitung, zur Transparenz gegenüber betroffenen Personen, zur Datensicherheit, zur Speicherdauer und zu den Rechten der Betroffenen. Der EDSA stellt den Fragenkatalog auch der Öffentlichkeit zur Verfügung (ab Seite 9).

Ein Knackpunkt sind Prompts mit persönlichen Daten

Nach Einschätzung der Behörde sammelt OpenAI in großem Umfang personenbezogene Daten durch das automatisierte Auslesen öffentlich zugänglicher Quellen (Web Scraping). Hierfür müsse das berechtigte Interesse sorgfältig gegen die Interessen der Betroffenen abgewogen werden. Besonders relevant seien technische Maßnahmen, um bestimmte Datenkategorien und Quellen auszuschließen sowie um Daten vor dem Training zu anonymisieren oder zu löschen.

Anzeige
Anzeige

Die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten oder Daten zur sexuellen Orientierung, ist nur unter strengen Bedingungen erlaubt. Die bloße Veröffentlichung durch Betroffene reicht nicht aus, um diese Daten nutzen zu dürfen. Auch hier sind Filtermaßnahmen notwendig, um entsprechende Datenkategorien während der Datensammlung und unmittelbar danach auszuschließen.

Ein weiterer Schwerpunkt des Berichts ist die Weiterverarbeitung von Nutzereingaben zum Training der Sprachmodelle. OpenAI beruft sich hierbei auf die Rechtsgrundlage des berechtigten Interesses. Nach Auffassung des EDSA müssen Nutzer hierüber klar informiert werden. Diese Transparenz sei ein wichtiger Faktor bei der Abwägung der Interessen.

Ferner dürfe OpenAI die Verantwortung für DSGVO-konforme Nutzereingaben nicht auf die Nutzer abwälzen. Wenn ein öffentlich zugänglicher Chatbot früher oder später mit personenbezogenen Daten gefüttert werde, bleibe der Anbieter für die Einhaltung der DSGVO verantwortlich.

Technische Unmöglichkeit ist kein Argument für Datenschutzverstoß

Der EDSA erinnert OpenAI daran, dass die Rechte der Betroffenen, einschließlich des Rechts auf Auskunft, Löschung und Berichtigung, einfach ausübbar sein müssen. Die von OpenAI angebotenen Modalitäten zur Erleichterung der Ausübung dieser Rechte müssten weiter verbessert werden.

Technische Unmöglichkeit könne nicht als Rechtfertigung für die Nichteinhaltung der DSGVO-Anforderungen herangezogen werden ("technical impossibility cannot be invoked to justify non-compliance") - eine Aussage, die weitreichende Folgen haben könnte, wenn man bedenkt, dass einmal trainierte KI-Modelle weitgehend statische Black Boxes sind, bei denen der Hersteller nicht einfach etwa einzelne personenbezogene Daten aus dem Modell löschen kann.

Empfehlung

Insgesamt sieht der EDSA bei OpenAI und anderen Anbietern ähnlicher Sprachmodelle noch erheblichen Handlungsbedarf, um den Anforderungen der DSGVO gerecht zu werden. Die Untersuchungen der nationalen Aufsichtsbehörden dauern an, und die Überlegungen im Bericht sind als vorläufige Einschätzungen zu betrachten. Richtungsweisende Entscheidungen stehen noch aus.

Anzeige
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!
Anzeige
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!
Unterstütze unsere unabhängige, frei zugängliche Berichterstattung. Jeder Betrag hilft und sichert unsere Zukunft. Jetzt unterstützen:
Banküberweisung
Zusammenfassung
  • Der Europäische Datenschutzausschuss (EDSA) sieht in einem vorläufigen Bericht mehrere problematische Praktiken bei der Erhebung und Verarbeitung personenbezogener Daten durch OpenAI.
  • Ein kritischer Punkt ist die Weiterverarbeitung von Nutzereingaben für das Training von Sprachmodellen. OpenAI sei für die Einhaltung der Datenschutz-Grundverordnung verantwortlich, auch wenn Nutzer personenbezogene Daten in Prompts eingeben. Diese Verantwortung könne nicht abgewälzt werden.
  • Der EDSA erinnert OpenAI daran, dass die Rechte der Betroffenen leicht ausübbar sein müssen. Technische Unmöglichkeit könne nicht als Rechtfertigung für die Nichteinhaltung der Anforderungen der DSGVO herangezogen werden. Insgesamt sieht der EDSA bei OpenAI noch erheblichen Handlungsbedarf.
Quellen
Online-Journalist Matthias ist Gründer und Herausgeber von THE DECODER. Er ist davon überzeugt, dass Künstliche Intelligenz die Beziehung zwischen Mensch und Computer grundlegend verändern wird.
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!