Das Unternehmen „Open AI“, das hinter dem Dienst ChatGPT steht, hat seinen Hauptsitz in San Francisco (USA). Es gibt keine Niederlassung innerhalb der EU. Aus diesem Grund sind alle europäischen Datenschutzbehörden dafür zuständig, in ihrem jeweiligen örtlichen Zuständigkeitsbereich die Einhaltung der DSGVO durch das Unternehmen zu überwachen.
Vor kurzem hat Open AI einen Fragenkatalog zur Datenverarbeitung bei ChatGPT vorgelegt bekommen, dessen Inhalte zuvor zwischen den Aufsichtsbehörden der Länder in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt worden waren. Das Ziel des Fragenkatalogs ist die Prüfung, ob die Datenverarbeitung bei ChatGPT auf den datenschutzrechtlichen Grundprinzipien basiert, ob eine gültige Rechtsgrundlage vorhanden ist und ob diese ausreichend Transparenz für die betroffenen Personen schaffen kann. Auch Aspekte wie z.B. welche Quellen für die Auskünfte über Personen genutzt werden und für welche Zwecke Nutzungsdaten gespeichert werden, sind zu klärende Punkte.
ChatGPT – Was ist das eigentlich?
Bei dem Dienst ChatGPT handelt es sich um einen Prototypen eines Chatbots, der auf dem Prinzip von „maschinellem Lernen“ beruht. ChatGPT ist ein textbasiertes Dialogsystem mit Benutzerschnittstelle. Zu den bekanntesten Funktionen zählen unter anderem die Auswertung, das Verarbeiten und sogar Verfassen von Texten (sowohl sachlicher als auch kreativer Natur), das Übersetzen und Zusammenfassen von Inhalten sowie das Führen von Kommunikationen im Sinne eines Dialogs mit dem Anwender.Hierbei ist insbesondere das „Training der künstlichen Intelligenz durch maschinelles Lernen mit dem Anwender“ aus Datenschutzsicht ein besonders heikles Thema, da die ChatGPT-KI zu ihrer Weiterentwicklung die Benutzereingaben von mittlerweile mehreren Millionen Privatpersonen und Unternehmen nutzt. In diesem Zusammenhang werden auch persönliche und sensible Informationen verarbeitet. Beispielsweise gab es bereits in Italien eine Datenpanne, bei der persönliche Informationen in fremden Chats preisgegeben wurden. In Italien wird ChatGPT derzeit blockiert.
Ein weiterer Aspekt, der bei der Nutzung von ChatGPT besonders beachtet werden müssen ist natürlich auch der Schutz von Kindern uns Minderjährigen. Hierbei sind wichtige Aspekte, ob z.B. eine Altersgrenze eingehalten und wie bei unter 16-Jährigen eine Einwilligung der Erziehungsberechtigten eingeholt werden kann.
Entwicklung der KI schreitet stetig voran
Wie mit vielen technologischen Entwicklungen, die rasant voranschreiten, hängt auch beim Thema KI die Gesetzgebung hinterher und versucht nun Regelungen zur Regulierung des Einsatzes von KI und zur Eindämmung von potenziellen Gefährdungen zu finden (siehe hierzu auch unseren weiteren Artikel zum Thema AI-Act).Es geht hierbei laut dem hessischen Datenschutzbeauftragten Roßnagel nicht um eine gesellschaftliche Bewertung von KI-Systemen im Allgemeinen sondern darum den Datenschutz sicherzustellen. Dabei wird von amerikanischen KI-Anbietern dassselbe Datenschutzniveau wie von europäischen Unternehmen erwartet.
Ein wichtiger Aspekt ist dabei, dass der Verantwortliche (Open AI) im Sinne der Rechenschaftspflicht nach Art. 5 DSGVO angeben muss, welche Daten wie und zu welchem Zweck verarbeitet werden. Auch müssen die Betroffenenrechte gemäß Art. 13 und 14 DSGVO gewahrt bleiben. Darüber hinaus müssen im Sinne des Art. 32 DSGVO technische und organisatorische Maßnahmen getroffen werden, die eine angemessene Sicherheit für die eingegebenen Daten der ChatGPT-Anwender gewährleisten können. Hierbei spielt natürlich eine übergeordnete Rolle, um welche Daten es sich handelt, wie z.B. sensible Daten im Sinne des Art. 9 DSGVO (u.a. Gesundheitsdaten, Religion, Weltanschauung, sexuelle Identität, familiäre oder finanzielle Daten). Diese Datenkategorien sind in besonderem Maße schützenswert.
Ähnlich wie bei US-Diensten gilt auch beim Thema KI derzeit: Eine sichere Möglichkeit, ChatGPT zu nutzen und gleichzeitig DSGVO-konform zu bleiben, gibt es aktuell nicht. Es bleibt also abzuwarten, ob und wie OpenAI auf die Anfragen der Datenschutzbehörden reagieren wird und welche Antworten gegeben werden.
Generell wird aktuell auf EU-Ebene an einem Regelwerk für den Einsatz von KI in Europa gearbeitet, das noch im Jahr 2023 erwartet wird. Wir haben ein Auge auf die weitere Entwicklung dieses Themas und halten Sie auf dem Laufenden.