Bildnachweis: Didem Mente/Anadolu Agency / Getty Images
Nach einer mehrmonatigen Untersuchung seines KI-Chatbots ChatGPT durch die italienische Datenschutzbehörde wurde OpenAI mitgeteilt, dass es verdächtigt wird, die Privatsphäre der Europäischen Union zu verletzen.
Einzelheiten zum Entwurf der Feststellungen der italienischen Behörde wurden nicht bekannt gegeben. Aber die Garante sagte heute OpenAI wurde benachrichtigt und erhielt 30 Tage Zeit, um sich gegen die Vorwürfe zu wehren.
Bestätigte Verstöße gegen die EU-weite Regelung können mit Geldstrafen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes geahndet werden. Noch unangenehmer für einen KI-Riesen wie OpenAI ist, dass Datenschutzbehörden (DPAs) Anordnungen erlassen können, die Änderungen an der Datenverarbeitung erfordern, um bestätigten Verstößen ein Ende zu setzen. Daher könnte es gezwungen sein, seine Arbeitsweise zu ändern. Oder ziehen Sie seinen Dienst aus EU-Mitgliedstaaten zurück, in denen Datenschutzbehörden versuchen, Änderungen durchzusetzen, die ihm nicht gefallen.
OpenAI wurde kontaktiert, um eine Antwort auf die Benachrichtigung der Garante über einen Verstoß zu erhalten. Wir werden diesen Bericht aktualisieren, wenn sie eine Stellungnahme senden.
Aktualisieren: OpenAI sagte:
Wir glauben, dass unsere Praktiken mit der DSGVO und anderen Datenschutzgesetzen im Einklang stehen, und ergreifen zusätzliche Maßnahmen, um die Daten und die Privatsphäre der Menschen zu schützen. Wir möchten, dass unsere KI etwas über die Welt lernt, nicht über einzelne Personen. Wir arbeiten aktiv daran, personenbezogene Daten zu reduzieren, indem wir unsere Systeme wie ChatGPT trainieren, das auch Anfragen nach privaten oder sensiblen Informationen über Personen ablehnt. Wir planen, weiterhin konstruktiv mit der Garante zusammenzuarbeiten.
Rechtmäßigkeit des KI-Modelltrainings im Rahmen
Die italienische Behörde äußerte letztes Jahr Bedenken hinsichtlich der Einhaltung der Datenschutz-Grundverordnung (DSGVO) durch OpenAI – als sie ein vorübergehendes Verbot der lokalen Datenverarbeitung durch ChatGPT anordnete, was dazu führte, dass der KI-Chatbot vorübergehend vom Markt suspendiert wurde.
Der 30. März der Garante Bestimmung gegenüber OpenAI, auch bekannt als „Maßnahmenregister“, wurde sowohl das Fehlen einer geeigneten Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten zum Zweck des Trainings der ChatGPT zugrunde liegenden Algorithmen hervorgehoben; und die Tendenz des KI-Tools zur „Halluzination“ (d. h. sein Potenzial, ungenaue Informationen über Einzelpersonen zu produzieren) – gehörte zu den zu diesem Zeitpunkt besorgniserregenden Problemen. Auch die Sicherheit von Kindern wurde als Problem eingestuft.
Insgesamt vermutete die Behörde, dass ChatGPT gegen die Artikel 5, 6, 8, 13 und 25 der DSGVO verstößt.
Trotz der Identifizierung dieser langen Liste mutmaßlicher Verstöße konnte OpenAI im vergangenen Jahr den Dienst von ChatGPT in Italien relativ schnell wieder aufnehmen, nachdem Schritte unternommen wurden, um einige von der Datenschutzbehörde angesprochene Probleme zu beheben. Die italienische Behörde sagte jedoch, sie werde die Ermittlungen zu den mutmaßlichen Verstößen fortsetzen. Man gelangt nun zu vorläufigen Schlussfolgerungen, dass das Tool gegen EU-Recht verstößt.
Während die italienische Behörde noch nicht gesagt hat, welche der zuvor vermuteten ChatGPT-Verstöße sie zum jetzigen Zeitpunkt bestätigt hat, scheint die Rechtsgrundlage, die OpenAI für die Verarbeitung personenbezogener Daten zum Trainieren seiner KI-Modelle angibt, ein besonders heikles Thema zu sein.
Dies liegt daran, dass ChatGPT unter Verwendung von Massendaten aus dem öffentlichen Internet entwickelt wurde – Informationen, zu denen auch die persönlichen Daten von Einzelpersonen gehören. Und das Problem, mit dem OpenAI in der Europäischen Union konfrontiert ist, besteht darin, dass die Verarbeitung der Daten von EU-Bürgern eine gültige Rechtsgrundlage erfordert.
Die DSGVO listet sechs mögliche Rechtsgrundlagen auf – die meisten davon sind in ihrem Kontext einfach nicht relevant. Im vergangenen April wurde OpenAI von der Garante angewiesen, Verweise auf „Vertragserfüllung“ für die Schulung des ChatGPT-Modells zu entfernen – sodass nur noch zwei Möglichkeiten bestehen: Einwilligung oder berechtigte Interessen.
Angesichts der Tatsache, dass der KI-Riese nie versucht hat, die Zustimmung der unzähligen Millionen (oder sogar Milliarden) von Webnutzern einzuholen, deren Informationen er für die Erstellung von KI-Modellen aufgenommen und verarbeitet hat, scheint jeder Versuch, zu behaupten, er habe die Erlaubnis der Europäer für die Verarbeitung, fehl am Platz zum Scheitern verurteilt. Und als OpenAI seine Dokumentation nach der Intervention der Garante im letzten Jahr überarbeitete, schien es sich auf die Behauptung eines berechtigten Interesses berufen zu wollen. Allerdings verlangt diese Rechtsgrundlage weiterhin, dass ein Datenverarbeiter den betroffenen Personen die Möglichkeit gibt, Einspruch einzulegen – und die Verarbeitung ihrer Daten zu stoppen.
Wie OpenAI dies im Kontext seines KI-Chatbots tun könnte, ist eine offene Frage. (Theoretisch könnte es erforderlich sein, illegal trainierte Modelle zurückzuziehen und zu zerstören und neue Modelle neu zu trainieren, ohne dass sich die Daten der widersprechenden Person im Trainingspool befinden – aber vorausgesetzt, es könnte überhaupt alle unrechtmäßig verarbeiteten Daten auf individueller Basis identifizieren, wäre dies der Fall Ich muss das für die Daten jedes einzelnen EU-Bürgers tun, der Einwände erhoben hat und gesagt hat, es solle aufhören … Was, ähm, teuer klingt.)
Über dieses heikle Thema hinaus stellt sich die umfassendere Frage, ob die Garante schließlich zu dem Schluss kommt, dass berechtigte Interessen in diesem Zusammenhang überhaupt eine gültige Rechtsgrundlage darstellen.
Ehrlich gesagt sieht das unwahrscheinlich aus. Denn LI ist kein Alleskönner. Es verlangt von Datenverarbeitern, ihre eigenen Interessen gegen die Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, abzuwägen – und zu prüfen, ob Einzelpersonen mit dieser Verwendung ihrer Daten gerechnet hätten; und das Potenzial, ihnen dadurch ungerechtfertigten Schaden zuzufügen. (Wenn sie damit nicht gerechnet hätten und die Gefahr eines solchen Schadens bestünde, würde LI nicht als gültige Rechtsgrundlage angesehen werden.)
Die Verarbeitung muss außerdem erforderlich sein und es gibt keine andere, weniger einschneidende Möglichkeit für den Datenverarbeiter, sein Ziel zu erreichen.
Insbesondere hat das oberste Gericht der EU bereits zuvor festgestellt, dass legitime Interessen eine ungeeignete Grundlage dafür darstellen, dass Meta die Nachverfolgung und Profilerstellung von Einzelpersonen durchführt, um sein Geschäft mit verhaltensbezogener Werbung in seinen sozialen Netzwerken zu betreiben. Daher steht die Vorstellung, dass eine andere Art von KI-Riesen die Verarbeitung von Menschendaten in großem Maßstab rechtfertigen möchte, um ein kommerzielles generatives KI-Geschäft aufzubauen, mit großen Fragezeichen – insbesondere, wenn die betreffenden Tools alle möglichen neuartigen Risiken für namentlich genannte Personen mit sich bringen (von Desinformation und Verleumdung bis hin zu Identitätsdiebstahl und Betrug, um nur einige zu nennen).
Ein Sprecher der Garante bestätigte, dass die Rechtsgrundlage für die Verarbeitung von Personendaten für das Modelltraining weiterhin in der Mischung der mutmaßlichen Verletzung von ChatGPT besteht. Sie haben jedoch zu diesem Zeitpunkt noch nicht genau bestätigt, welchen (oder welche) Artikel OpenAI angeblich verletzt.
Auch die heutige Ankündigung der Behörde ist noch nicht das letzte Wort, denn auch sie wird die Antwort von OpenAI abwarten, bevor sie eine endgültige Entscheidung trifft.
Hier ist die Bürge Aussage (die wir mit KI aus dem Italienischen übersetzt haben):
[Italian Data Protection Authority] hat OpenAI, das Unternehmen, das die Plattform für künstliche Intelligenz ChatGPT betreibt, über seinen Einspruch wegen Verstoßes gegen Datenschutzbestimmungen informiert.
Im Anschluss an die vorläufige Einschränkung der Verarbeitungsanordnung, die vom Stellt sicher am 30. März gegen das Unternehmen erhoben und als Ergebnis der durchgeführten vorläufigen Untersuchung kam die Behörde zu dem Schluss, dass die erworbenen Elemente eine oder mehrere rechtswidrige Handlungen im Hinblick auf die Bestimmungen der EU-Verordnung darstellen könnten.
OpenAI hat 30 Tage Zeit, seine Verteidigungsschriftsätze zu den mutmaßlichen Verstößen zu übermitteln.
Bei der Festlegung des Verfahrens berücksichtigt die Garante die laufende Arbeit der vom Gremium eingesetzten Sonderarbeitsgruppe, in der die EU-Datenschutzbehörden (EDPB) zusammenkommen.
Auch OpenAI steht in Polen vor einer Prüfung der Einhaltung der DSGVO durch ChatGPT, nachdem im letzten Sommer eine Beschwerde eingereicht wurde, die sich auf einen Vorfall des Tools konzentrierte, der ungenaue Informationen über eine Person lieferte, und auf die Antwort von OpenAI auf diesen Beschwerdeführer. Diese separate DSGVO-Untersuchung läuft noch.
OpenAI hat unterdessen auf das steigende regulatorische Risiko in der gesamten EU reagiert, indem es versucht hat, eine physische Basis in Irland zu errichten; und im Januar bekannt gegeben, dass dieses irische Unternehmen künftig der Dienstleister für die Daten von EU-Nutzern sein wird.
Mit diesen Schritten hofft man, den Status einer sogenannten „Hauptniederlassung“ in Irland zu erlangen und dazu überzugehen, die Bewertung der DSGVO-Konformität von der irischen Datenschutzkommission über den One-Stop-Shop-Mechanismus der Verordnung durchführen zu lassen – und nicht (wie bisher). ) sein Geschäft unterliegt möglicherweise der Aufsicht der Datenschutzbehörde von überall in der Union, wo seine Tools lokale Benutzer haben.
Allerdings muss OpenAI diesen Status noch erhalten, so dass ChatGPT möglicherweise noch weiteren Untersuchungen durch Datenschutzbehörden in anderen Teilen der EU ausgesetzt sein könnte. Und selbst wenn es den Status erhält, werden die italienischen Ermittlungen und Durchsetzungsmaßnahmen fortgesetzt, da die betreffende Datenverarbeitung vor der Änderung ihrer Verarbeitungsstruktur erfolgte.
Die Datenschutzbehörden des Blocks haben versucht, ihre Aufsicht über ChatGPT zu koordinieren, indem sie über das Europäische Datenschutzgremium eine Taskforce eingerichtet haben, die prüfen soll, wie die DSGVO auf den Chatbot anzuwenden ist, wie es in der Erklärung der Garante heißt. Diese (laufenden) Bemühungen können letztendlich zu harmonisierten Ergebnissen bei einzelnen ChatGPT-DSGVO-Untersuchungen führen – beispielsweise in Italien und Polen.
Die Behörden bleiben jedoch unabhängig und befugt, Entscheidungen auf ihren eigenen Märkten zu treffen. Daher gibt es auch keine Garantie dafür, dass eine der aktuellen ChatGPT-Untersuchungen zu den gleichen Schlussfolgerungen kommt.