Der Europäische Datenschutzausschuss (EDSA) hat einen vorläufigen Bericht über Untersuchungen zu ChatGPT durch nationale Datenschutzbehörden veröffentlicht. Die Behörde sieht mehrere problematische Praktiken bei der Verarbeitung personenbezogener Daten durch OpenAI.
Bis zum 15. Februar 2024 hatte OpenAI keinen Geschäftssitz in der EU, weshalb die nationalen Aufsichtsbehörden unabhängig voneinander Untersuchungen einleiten konnten. Mit der Gründung von OpenAI Ireland Limited fällt das Unternehmen nun unter den sogenannten One-Stop-Shop-Mechanismus. Dadurch wird voraussichtlich die irische Datenschutzbehörde die Hauptverantwortung für die Aufsicht über OpenAI in Europa übernehmen.
Die Task Force des EDSA entwickelte einen gemeinsamen Fragenkatalog, der OpenAI von mehreren Behörden vorgelegt wurde. Dieser enthält Fragen zu verschiedenen Aspekten des Datenschutzes, wie zum Beispiel zur Rechtsgrundlage der Datenverarbeitung, zur Transparenz gegenüber betroffenen Personen, zur Datensicherheit, zur Speicherdauer und zu den Rechten der Betroffenen. Der EDSA stellt den Fragenkatalog auch der Öffentlichkeit zur Verfügung (ab Seite 9).
Ein Knackpunkt sind Prompts mit persönlichen Daten
Nach Einschätzung der Behörde sammelt OpenAI in großem Umfang personenbezogene Daten durch das automatisierte Auslesen öffentlich zugänglicher Quellen (Web Scraping). Hierfür müsse das berechtigte Interesse sorgfältig gegen die Interessen der Betroffenen abgewogen werden. Besonders relevant seien technische Maßnahmen, um bestimmte Datenkategorien und Quellen auszuschließen sowie um Daten vor dem Training zu anonymisieren oder zu löschen.
Die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten oder Daten zur sexuellen Orientierung, ist nur unter strengen Bedingungen erlaubt. Die bloße Veröffentlichung durch Betroffene reicht nicht aus, um diese Daten nutzen zu dürfen. Auch hier sind Filtermaßnahmen notwendig, um entsprechende Datenkategorien während der Datensammlung und unmittelbar danach auszuschließen.
Ein weiterer Schwerpunkt des Berichts ist die Weiterverarbeitung von Nutzereingaben zum Training der Sprachmodelle. OpenAI beruft sich hierbei auf die Rechtsgrundlage des berechtigten Interesses. Nach Auffassung des EDSA müssen Nutzer hierüber klar informiert werden. Diese Transparenz sei ein wichtiger Faktor bei der Abwägung der Interessen.
Ferner dürfe OpenAI die Verantwortung für DSGVO-konforme Nutzereingaben nicht auf die Nutzer abwälzen. Wenn ein öffentlich zugänglicher Chatbot früher oder später mit personenbezogenen Daten gefüttert werde, bleibe der Anbieter für die Einhaltung der DSGVO verantwortlich.
Technische Unmöglichkeit ist kein Argument für Datenschutzverstoß
Der EDSA erinnert OpenAI daran, dass die Rechte der Betroffenen, einschließlich des Rechts auf Auskunft, Löschung und Berichtigung, einfach ausübbar sein müssen. Die von OpenAI angebotenen Modalitäten zur Erleichterung der Ausübung dieser Rechte müssten weiter verbessert werden.
Technische Unmöglichkeit könne nicht als Rechtfertigung für die Nichteinhaltung der DSGVO-Anforderungen herangezogen werden ("technical impossibility cannot be invoked to justify non-compliance") - eine Aussage, die weitreichende Folgen haben könnte, wenn man bedenkt, dass einmal trainierte KI-Modelle weitgehend statische Black Boxes sind, bei denen der Hersteller nicht einfach etwa einzelne personenbezogene Daten aus dem Modell löschen kann.
Insgesamt sieht der EDSA bei OpenAI und anderen Anbietern ähnlicher Sprachmodelle noch erheblichen Handlungsbedarf, um den Anforderungen der DSGVO gerecht zu werden. Die Untersuchungen der nationalen Aufsichtsbehörden dauern an, und die Überlegungen im Bericht sind als vorläufige Einschätzungen zu betrachten. Richtungsweisende Entscheidungen stehen noch aus.
