Am Freitag gab die Garante bekannt, dass sie eine Untersuchung gegen ChatGPT wegen mutmaßlicher Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union eingeleitet hat – und sagte, sie sei besorgt, dass OpenAI die Daten von Italienern unrechtmäßig verarbeitet habe.

OpenAI scheint niemanden informiert zu haben, dessen Online-Daten es gefunden und zum Trainieren der Technologie verwendet hat, beispielsweise durch das Scrapen von Informationen aus Internetforen. Es war auch nicht ganz offen über die Daten, die es verarbeitet – schon gar nicht für die neueste Iteration seines Modells, GPT-4. Und während die verwendeten Trainingsdaten möglicherweise öffentlich waren (im Sinne einer Online-Veröffentlichung), enthält die DSGVO immer noch Transparenzprinzipien – die darauf hindeuten, dass sowohl Benutzer als auch Personen, deren Daten geschabt wurden, hätten informiert werden sollen.

In seinem Stellungnahme Gestern wies die Garante auch auf das Fehlen eines Systems hin, das Minderjährige am Zugriff auf die Technologie hindert, und hob ein Kindersicherheits-Flag – und stellte fest, dass es beispielsweise keine Altersüberprüfungsfunktion gibt, um einen unangemessenen Zugriff zu verhindern.

Darüber hinaus hat die Regulierungsbehörde Bedenken hinsichtlich der Genauigkeit der vom Chatbot bereitgestellten Informationen geäußert.

ChatGPT und andere Chatbots mit generativer KI sind dafür bekannt, dass sie manchmal fehlerhafte Informationen über benannte Personen liefern – ein Fehler, den KI-Hersteller als „halluzinierend“ bezeichnen. Dies erscheint in der EU problematisch, da die DSGVO Einzelpersonen eine Reihe von Rechten an ihren Informationen verleiht – einschließlich eines Rechts auf Berichtigung fehlerhafter Informationen. Und derzeit ist nicht klar, dass OpenAI über ein System verfügt, mit dem Benutzer den Chatbot bitten können, aufzuhören, über sie zu lügen.

Das in San Francisco ansässige Unternehmen hat noch immer nicht auf unsere Bitte um Stellungnahme zu den Ermittlungen der Garante reagiert. Aber in seiner öffentlichen Erklärung gegenüber geoblockten Benutzern in Italien behauptet es: „Wir verpflichten uns, die Privatsphäre der Menschen zu schützen, und wir glauben, dass wir ChatGPT in Übereinstimmung mit der DSGVO und anderen Datenschutzgesetzen anbieten.“

„Wir werden uns mit dem beschäftigen Garantie mit dem Ziel, Ihren Zugang so schnell wie möglich wiederherzustellen“, schreibt sie außerdem und fügt hinzu: „Viele von Ihnen haben uns gesagt, dass Sie ChatGPT für alltägliche Aufgaben hilfreich finden, und wir freuen uns darauf, es bald wieder verfügbar zu machen.“

Trotz einer optimistischen Note gegen Ende der Erklärung ist nicht klar, wie OpenAI die von der Garante aufgeworfenen Compliance-Probleme angehen kann — Angesichts des breiten Umfangs der DSGVO-Bedenken, die dargelegt werden, leitet sie eine eingehendere Untersuchung ein.

Die EU-weite Verordnung fordert Data Protection by Design and Default – was bedeutet, dass datenschutzzentrierte Prozesse und Prinzipien in ein System eingebettet werden sollen, das die Daten von Personen von Anfang an verarbeitet (auch bekannt als der entgegengesetzte Ansatz, um Daten zu erfassen und später um Verzeihung zu bitten). .

Strafen für bestätigte Verstöße gegen die DSGVO können sich auf bis zu 4 % des weltweiten Jahresumsatzes eines Datenverarbeiters belaufen (oder 20 Millionen Euro, je nachdem, welcher Wert höher ist).

Da OpenAI keine Hauptniederlassung in der EU hat, ist jede der Datenschutzbehörden des Blocks befugt, ChatGPT zu regulieren – was bedeutet, dass die Behörden aller anderen EU-Mitgliedsländer eingreifen und Nachforschungen anstellen können – und Bußgelder für alle von ihnen festgestellten Verstöße verhängen können (in relativ kurzer Zeit, da jeder nur in seinem eigenen Patch agieren würde). Es steht also vor dem höchsten Maß an DSGVO-Exposition und ist nicht darauf vorbereitet, das Forum-Shopping-Spiel zu spielen, mit dem andere Technologiegiganten die Durchsetzung des Datenschutzes in Europa verzögert haben.