OpenAI rückte letztes Jahr dank der Popularität seines generativen KI-Chatbots chatgpt ins Rampenlicht. Während erwartet wird, dass es mit dem Ruhm sowohl Lob als auch Kritik gibt, tendiert das Gleichgewicht bei OpenAI eher zu Letzterem – deutlich mit potenziellen Kosten von entweder 20 Millionen Euro oder 4 Prozent seines weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
Als Italiens Datenschutzbehörde (Garante) im März 2023 ein vorübergehendes Verbot von ChatGPT verhängte, war zu erwarten, dass sich ein Problem zusammenbraute – dessen Ausmaß bislang unklar war. Garante enthüllte, noch nicht vollständig, dass OpenAI gegen die EU-Datenschutz-Grundverordnung (DSGVO) verstoßen hat, wahrscheinlich weil ChatGPT durch die Aufnahme von Massendaten aus dem Internet trainiert wurde. Weitere Informationen zur Untersuchung finden Sie hier Hier.
Während Sie ChatGPT also nach Details einer Person fragen können (die nicht in der Öffentlichkeit steht), und Ihnen mitgeteilt wird, dass es „keine persönlichen Daten über Einzelpersonen offenlegen oder Zugriff darauf gewähren kann“, besteht das Problem für Garante darin, dass das Internet die Daten speichert personenbezogene Daten von Einzelpersonen, die von ChatGPT als Trainingsdaten verwendet werden können. Um diese personenbezogenen Daten zum Trainieren der Plattform nutzen zu können, benötigt OpenAI eine DSGVO-konforme Rechtsgrundlage, was Grante bestreitet. OpenAI hat 30 Tage Zeit, um mit seiner Verteidigung auf die Mitteilung von Garante zu reagieren. Wenn OpenAI keine zufriedenstellende Verteidigung bieten kann, drohen Bußgelder der oberen Preisskala, die sich auf 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes belaufen.
Während wir auf die vollständigen Details warten, gibt es wichtige Erkenntnisse, die für alle Organisationen gelten, nicht unbedingt nur für diejenigen im Bereich der künstlichen Intelligenz. Es ist nämlich von entscheidender Bedeutung, dass alle Organisationen verstehen, wie, warum und aus welchen Gründen sie personenbezogene Daten nutzen und sammeln. Daher ist es von entscheidender Bedeutung, über eine solide Rechtsgrundlage für die Verarbeitung der Daten zu verfügen – es reicht nicht aus, nur lose von einer vertraglichen oder berechtigten Interessengrundlage auszugehen; es muss tatsächlich begründet werden.
Wenn Sie ein Unternehmen sind, das KI-Modelle verwendet oder entwickelt, besteht zwar Unsicherheit, aber auch ein gewisses Maß an Komfort. Während wir uns mit der sich schnell verändernden Welt der KI auseinandersetzen, uns mit ihren vielen Unbekannten auseinandersetzen und neue KI-bezogene Gesetze wie das EU-KI-Gesetz erwarten, kennen wir bereits die EU-DSGVO, ihre Anwendung und den Schutz von Daten Fächer. Es lässt sich nur schwer feststellen, ob der kompromisslose Ansatz gegenüber OpenAI ein Vorbild sein soll oder ob er auf den Ansatz gegenüber KI-bezogenen Unternehmen schließen lässt. In jedem Fall besagen die Warnsignale, dass eine gründliche Überprüfung von Prozessen und Praktiken aus der Perspektive der EU-DSGVO (und der UK-DSGVO) von größter Bedeutung ist.
Dieser Beitrag wurde gemeinsam mit dem London IP and Data Privacy Trainee verfasst. Hayley Rabet