Die italienische Datenschutzbehörde Garante hat OpenAIs ChatGPT beschuldigt, gegen europäisches Datenschutzrecht zu verstoßen und dem Unternehmen eine Frist von 30 Tagen gesetzt, um darauf zu reagieren.
Der Vorwurf folgt auf eine monatelange Untersuchung, nachdem Italien den Zugang zum Chatbot aufgrund von Datenschutzbedenken zunächst blockiert hatte. OpenAI hatte Maßnahmen angekündigt, um diese Bedenken auszuräumen, aber die jüngste Entscheidung deutet darauf hin, dass die Untersuchung die Behörde nicht zufriedengestellt hat.
Nach dem vorübergehenden Verbot der Datenverarbeitung, das die Garante am 30. März letzten Jahres gegen OpenAI verhängt hatte, kam die italienische Datenschutzbehörde auf der Grundlage der Ergebnisse ihrer Ermittlungen zu dem Schluss, dass die vorliegenden Beweise auf Verstöße gegen die Bestimmungen der EU-DSGVO hindeuten.
Garante
Es ist noch unklar, worin der konkrete Verstoß besteht, aber mögliche Strafen könnten eine Geldstrafe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes von OpenAI sowie mögliche Änderungen an der grundlegenden Funktionalität von ChatGPT umfassen.
ChatGPT ist jetzt (möglicherweise) DSGVO-konform, war es aber nicht, als es eingeführt wurde. OpenAI sammelte monatelang illegal Nutzerdaten und trainierte damit seine Modelle.
OpenAI kämpft mit europäischen Datenschutzrechten
Neben Italien untersuchen auch Behörden in Frankreich, Irland und Deutschland, wie OpenAI mit ChatGPT Daten sammelt und verwendet. OpenAI hat sich mit den Datenschutzbehörden in Verbindung gesetzt, um ihre Fragen zu beantworten und Feedback zu erhalten, legt aber nicht offen, welche Datensätze zum Training seiner KI-Modelle verwendet werden.
Das Unternehmen hat zudem eine Erklärung auf seiner Website veröffentlicht, in der es darlegt, wie es in Zukunft bessere Filter für private Daten einsetzen will, keine privaten Daten für das Training von KI verwenden und - "wenn möglich" - diese Daten auf Wunsch des Nutzers aus dem System löschen wird.
Die DSGVO gibt europäischen Bürgern als "Datensubjekten" bestimmte Rechte, darunter das Recht, darüber informiert zu werden, wie ihre Daten gesammelt und verwendet werden, und das Recht, diese Daten löschen zu lassen, auch wenn sie öffentlich zugänglich sind.