Wenige Tage, nachdem OpenAI eine Reihe von Datenschutzkontrollen für seinen generativen KI-Chatbot ChatGPT angekündigt hatte, wurde der Dienst wieder für Benutzer in Italien verfügbar gemacht – womit (vorerst) eine vorzeitige regulatorische Aussetzung in einem der 27 Mitgliedstaaten der Europäischen Union gelöst wurde. Auch wenn die lokale Untersuchung der Einhaltung der Datenschutzbestimmungen der Region fortgesetzt wird.

Zum Zeitpunkt des Verfassens dieses Artikels werden Webbenutzer, die von einer italienischen IP-Adresse aus zu ChatGPT navigieren, nicht mehr mit einer Benachrichtigung begrüßt, die ihnen mitteilt, dass der Dienst „für Benutzer in Italien deaktiviert“ ist. Stattdessen erhalten sie eine Nachricht, in der es heißt, dass OpenAI „sich freut, ChatGPT in Italien wieder anbieten zu können“.

In dem Pop-up wird weiterhin festgelegt, dass Benutzer bestätigen müssen, dass sie mindestens 18 Jahre oder 13 Jahre alt sind und die Zustimmung eines Elternteils oder Erziehungsberechtigten zur Nutzung des Dienstes eingeholt hat – indem sie auf eine Schaltfläche mit der Aufschrift „Ich erfülle die Altersanforderungen von OpenAI“ klicken.

Der Text der Benachrichtigung macht auch auf die Datenschutzrichtlinie von OpenAI aufmerksam und verweist auf einen Hilfeartikel, in dem das Unternehmen angibt, dass es Informationen darüber bereitstellt, „wie wir ChatGPT entwickeln und trainieren“.

Die Änderungen in der Art und Weise, wie OpenAI ChatGPT Benutzern in Italien präsentiert, sollen eine Reihe anfänglicher Bedingungen erfüllen, die von der lokalen Datenschutzbehörde (DPA) festgelegt wurden, damit der Dienst mit kontrolliertem regulatorischem Risiko wieder aufgenommen werden kann.

Kurze Zusammenfassung der Hintergrundgeschichte hier: Ende letzten Monats ordnete die italienische Garante eine vorübergehende Anordnung zur Einstellung der Verarbeitung von ChatGPT an und gab an, sie sei besorgt, dass die Dienste gegen EU-Datenschutzgesetze verstoßen. Außerdem leitete sie eine Untersuchung der mutmaßlichen Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) ein.

OpenAI reagierte schnell auf die Intervention, indem es Anfang dieses Monats Benutzer mit italienischen IP-Adressen geoblockte.

Dem Schritt folgte ein paar Wochen später die Veröffentlichung einer Liste von Maßnahmen durch die Garante, die OpenAI ihrer Meinung nach umsetzen muss, damit die Aussetzungsanordnung bis Ende April aufgehoben wird – einschließlich der Einführung einer Altersbegrenzung, um Minderjährige vom Zugriff auf den Dienst abzuhalten und Änderung der Rechtsgrundlage für die Verarbeitung lokaler Nutzerdaten.

Die Regulierungsbehörde musste in Italien und anderswo in Europa wegen der Intervention einige politische Kritik einstecken. Obwohl es nicht die einzige Datenschutzbehörde ist, die Bedenken äußert, haben die Regulierungsbehörden des Blocks Anfang dieses Monats vereinbart, eine Task Force mit Schwerpunkt auf ChatGPT einzurichten, mit dem Ziel, Ermittlungen und die Zusammenarbeit bei etwaigen Durchsetzungen zu unterstützen.

In einem Pressemitteilung In der heute veröffentlichten Ankündigung der Wiederaufnahme des Dienstes in Italien teilte die Garante mit, dass OpenAI ihr einen Brief geschickt habe, in dem die als Reaktion auf die frühere Anordnung umgesetzten Maßnahmen detailliert beschrieben würden – und schrieb: „OpenAI erklärte, dass es die Informationen, die es hatte, auf europäische Benutzer und Nichtbenutzer ausgeweitet habe Es wurden mehrere Mechanismen geändert und präzisiert und zugängliche Lösungen eingeführt, um Benutzern und Nicht-Benutzern die Ausübung ihrer Rechte zu ermöglichen. Basierend auf diesen Verbesserungen hat OpenAI den Zugriff auf ChatGPT für italienische Benutzer wiederhergestellt.“

Die DPA geht detaillierter auf die von OpenAI unternommenen Schritte ein und sagt, dass OpenAI seine Datenschutzrichtlinie erweitert und Benutzern und Nichtbenutzern mehr Informationen über die personenbezogenen Daten zur Verfügung gestellt hat, die zum Training seiner Algorithmen verarbeitet werden, einschließlich der Festlegung, dass jeder das Recht hat, sich abzumelden einer solchen Verarbeitung – was darauf hindeutet, dass sich das Unternehmen nun auf die Geltendmachung berechtigter Interessen als Rechtsgrundlage für die Verarbeitung von Daten zum Training seiner Algorithmen beruft (da diese Grundlage erfordert, dass es ein Opt-out anbietet).

Darüber hinaus enthüllt die Garante, dass OpenAI Schritte unternommen hat, um den Europäern die Möglichkeit zu geben, zu verlangen, dass ihre Daten nicht zum Training der KI verwendet werden (Anfragen können über ein Online-Formular gestellt werden) – und ihnen „Mechanismen“ zur Verfügung zu stellen. ihre Daten löschen zu lassen.

Sie teilte der Aufsichtsbehörde außerdem mit, dass sie zum jetzigen Zeitpunkt nicht in der Lage sei, den Fehler zu beheben, bei dem Chatbots falsche Informationen über namentlich genannte Personen verbreiten. Daher werden „Mechanismen eingeführt, die es betroffenen Personen ermöglichen, die Löschung von Informationen zu erreichen, die als unrichtig gelten“.

Europäische Nutzer, die der Verarbeitung ihrer personenbezogenen Daten zum Training ihrer KI widersprechen möchten, können dies auch über ein von OpenAI zur Verfügung gestelltes Formular tun, das laut DPA „so ihre Chats und ihren Chat-Verlauf aus den für das Training verwendeten Daten herausfiltert“. Algorithmen“.

Das Eingreifen der italienischen Datenschutzbehörde hat also zu einigen bemerkenswerten Änderungen des Kontrollniveaus geführt, das ChatGPT den Europäern bietet.

Allerdings ist noch nicht klar, ob die Optimierungen, die OpenAI eilig umgesetzt hat, weit genug gehen werden (oder können), um alle geäußerten DSGVO-Bedenken auszuräumen.

Beispielsweise ist nicht klar, ob die personenbezogenen Daten der Italiener, die in der Vergangenheit zum Trainieren ihres GPT-Modells verwendet wurden, d Bisher gespeicherte Daten werden bzw. können gelöscht werden, wenn Benutzer jetzt die Löschung ihrer Daten beantragen.

Die große Frage bleibt, welche Rechtsgrundlage OpenAI überhaupt hatte, um personenbezogene Daten zu verarbeiten, als das Unternehmen noch nicht so offen darüber war, welche Daten es nutzte.

Das US-Unternehmen hofft offenbar, die Einwände darüber, was es mit den Informationen von Europäern gemacht hat, einzudämmen, indem es jetzt einige eingeschränkte Kontrollen für neu eingehende personenbezogene Daten einführt, in der Hoffnung, dass dadurch das umfassendere Problem aller regionalen personenbezogenen Daten verwischt wird Die Verarbeitung erfolgt historisch.

Auf die Frage nach den vorgenommenen Änderungen schickte ein OpenAI-Sprecher per E-Mail an TechCrunch diese zusammenfassende Erklärung:

ChatGPT ist für unsere Benutzer in Italien wieder verfügbar. Wir freuen uns, sie wieder bei uns begrüßen zu dürfen, und sind weiterhin bestrebt, ihre Privatsphäre zu schützen. Wir haben die von der Garante aufgeworfenen Probleme angesprochen oder geklärt, darunter:

Wir schätzen die Zusammenarbeit der Garante und freuen uns auf weitere konstruktive Gespräche.

In dem Help-Center-Artikel gibt OpenAI zu, dass es personenbezogene Daten verarbeitet hat, um ChatGPT zu trainieren, und versucht gleichzeitig zu behaupten, dass es nicht wirklich die Absicht hatte, dies zu tun, sondern dass das Zeug nur da draußen im Internet herumlag – oder wie es heißt: „Da im Internet viele Daten personenbezogen sind, enthalten unsere Schulungsinformationen im Übrigen auch personenbezogene Daten. Wir suchen nicht aktiv nach persönlichen Informationen, um unsere Modelle zu trainieren.“

Das liest sich wie ein netter Versuch, der Anforderung der DSGVO zu entgehen, dass es eine gültige Rechtsgrundlage für die Verarbeitung dieser zufällig gefundenen personenbezogenen Daten gibt.

OpenAI erweitert seine Verteidigung in einem (positiven) Abschnitt mit dem Titel „Wie entspricht die Entwicklung von ChatGPT den Datenschutzgesetzen?“ – in dem es vorschlägt, die Daten von Personen rechtmäßig verwendet zu haben, weil A) der Zweck des Chatbots darin bestand, einen Nutzen zu erzielen; B) es hatte keine Wahl, da für den Aufbau der KI-Technologie viele Daten erforderlich waren; und C) es wird behauptet, es habe nicht die Absicht gehabt, Einzelpersonen negativ zu beeinflussen.

„Aus diesen Gründen stützen wir unsere Erhebung und Nutzung personenbezogener Daten, die in Schulungsinformationen enthalten sind, auf berechtigte Interessen gemäß Datenschutzgesetzen wie der DSGVO“, heißt es weiter und fügt hinzu: „Um unseren Compliance-Verpflichtungen nachzukommen, haben wir außerdem a Datenschutz-Folgenabschätzung, um sicherzustellen, dass wir diese Informationen rechtmäßig und verantwortungsvoll sammeln und verwenden.“

Auch hier läuft die Verteidigung von OpenAI gegen den Vorwurf des Verstoßes gegen Datenschutzgesetze im Wesentlichen auf Folgendes hinaus: „Aber wir haben es nicht böse gemeint, Herr Beamter!“

Die Erklärung enthält außerdem fettgedruckten Text, um die Behauptung hervorzuheben, dass diese Daten nicht zur Erstellung von Profilen über Einzelpersonen verwendet werden. Kontaktieren Sie sie oder machen Sie Werbung für sie. oder versuchen Sie, ihnen etwas zu verkaufen. Nichts davon ist relevant für die Frage, ob seine Datenverarbeitungsaktivitäten gegen die DSGVO verstoßen haben oder nicht.

Die italienische Datenschutzbehörde bestätigte uns, dass die Untersuchung dieses wichtigen Problems fortgesetzt wird.

In ihrer Aktualisierung stellt die Garante außerdem fest, dass sie von OpenAI erwartet, dass sie den in ihrer Anordnung vom 11. April festgelegten zusätzlichen Anforderungen nachkommt – und weist auf die Anforderung hin, ein Altersüberprüfungssystem zu implementieren (um Minderjährige wirksamer vom Zugriff auf den Dienst abzuhalten); und eine lokale Informationskampagne durchzuführen, um die Italiener darüber zu informieren, wie das Unternehmen seine Daten verarbeitet und welches Recht es hat, der Verarbeitung ihrer personenbezogenen Daten zum Training seiner Algorithmen zu widersprechen.

„Die italienische SA [supervisory authority] anerkennt die Fortschritte, die OpenAI unternommen hat, um technologische Fortschritte mit der Achtung der Rechte des Einzelnen in Einklang zu bringen, und hofft, dass das Unternehmen seine Bemühungen zur Einhaltung der europäischen Datenschutzgesetze fortsetzt“, fügt es hinzu und betont, dass dies nur der erste Schritt sei in diesem Regulierungstanz.

Ergo müssen alle verschiedenen Behauptungen von OpenAI, 100 % echt zu sein, noch gründlich getestet werden.