Die rapide Entwicklung im Bereich der künstlichen Intelligenz (KI), insbesondere bei generativen KI-Systemen wie ChatGPT bringt viele Fragestellungen bezüglich Themen wie Transparenz, Fairness, Datenrichtigkeit und Betroffenenrechten. Dies betrifft primär die Anbieter von KI-Systemen, aber auch anwendende Unternehmen.
LLM und DSGVO
Als Reaktion auf die schnelle Verbreitung von KI-Anwendungen veröffentlichte die ChatGPT-Taskforce des Europäischen Datenschutzausschusses (EDSA) einen vorläufigen Bericht zur Einhaltung von EU-Datenschutzregeln bei Large Language Modellen (LLM), also solchen wie sie zum Beispiel bei ChatGPT genutzt werden (GPT-3, GPT-4 usw.). Der EDSA-Bericht soll dazu beitragen, dass die Anwendung der Datenschutz-Grundverordnung (DSGVO) in Verbindung mit derartigen Sprachmodellen gewährleistet wird.
Wir geben einen kurzen Überblick zum Bericht der ChatGPT-Taskforce und fassen die wichtigsten Punkte der Stellungnahme zusammen.
Warum kümmert sich der EDSA auch um KI?
Der EDSA ist ein unabhängiges Gremium, das die nationalen Datenschutzbehörden aufeinander abstimmt, so dass die Datenschutzregeln innerhalb der EU einheitlich angewendet werden. Darüber hinaus veröffentlicht er Leitlinien und Stellungnahmen bezüglich unterschiedlicher Datenschutzthemen, die als Empfehlungen für nationale Behörden und Unternehmen dienen sollen.
Um die Einhaltung der DSGVO bei Sprachmodellen wie dem vom ChatGPT zu überprüfen, bildete der EDSA eine ChatGPT-Taskforce. Die Taskforce setzte einen Fragenkatalog auf, der für den Austausch zwischen den Aufsichtsbehörden und OpenAI OpCo LLC, dem Anbieter von ChatGPT, bestimmt ist, um ein koordiniertes Vorgehen bei den Untersuchungen zu erzielen.
Tatsächlich haben sich auch einige nationale Datenschutzbehörden bereits zu dem Thema geäußert. So machte etwa der deutsche BfDI bereits Vorschläge zu Regulierung generativer KI und die französische CNIL veröffentlichte einen Leitfaden zur datenschutzkonformen KI-Nutzung.
Vorläufige Stellungnahme der ChatGPT-Taskforce
Da die folgend dargestellten Überlegungen keine abschließende Analyse der ChatGPT-Taskforce darstellen, ist bisher nur möglich, einen vorläufigen Standpunkt zu den oben genannten Themen zu geben. Es muss beachtet werden, dass sich die Umstände der Untersuchungen im Laufe der Zeit ändern können.
Rechtmäßigkeit der Verarbeitung
ChatGPT bedient sich einer großen Menge personenbezogener Daten aus verschiedenen öffentlich zugänglichen Quellen im Internet. Dieses Vorgehen wird als Web Scraping bezeichnet und umfasst mehrere Verfahren, mit denen automatisch Daten aus dem Internet ausgelesen werden. Mit diesen erhobenen Daten kann ChatGPT trainiert, stetig verbessert und somit weiterentwickelt werden.
Diesbezüglich stützt sich OpenAI auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO. Die Rechtsgrundlage wurde durch die Taskforce noch nicht abschließend geprüft.
Auch bezüglich der Nutzung von ChatGPT selbst (Inputs, Outputs, Nutzerfeedback), beruft sich OpenAI auf sein berechtigtes Interesse an der Verarbeitung. Die ChatGPT-Taskforce betont dabei, dass in ihrer – noch anstehenden – Prüfung der Rechtsgrundlage die Frage eine wesentliche Rolle spielen wird, ob Nutzer ausreichend über die Nutzung solcher Daten für die Weiterentwicklung des Modells informiert werden.
Gebot der Fairness
Die Verarbeitung der personenbezogenen Daten muss rechtmäßig, transparent und unter der Beachtung von Treu und Glauben gemäß Art. 5 Abs. 1 lit. a) DSGVO erfolgen. Das bedeutet, dass die Verarbeitung nicht ungerechtfertigt nachteilig, diskriminierend, unerwartet oder irreführend sein darf. Ein wichtiger Aspekt dieses Grundsatzes ist, dass die Risiken der Datenverarbeitung nicht auf die betroffenen Personen (also die Nutzer) übertragen werden dürfen. OpenAI bleibt Verantwortlicher für die Einhaltung der DSGVO und darf im Fall von ChatGPT die Nutzer nicht beispielsweise durch Klauseln in den Allgemeinen Geschäftsbedingungen für ihre Chat-Eingaben verantwortlich machen.
Da ChatGPT öffentlich verfügbar ist, muss davon ausgegangen werden, dass Nutzer personenbezogene Daten eingeben werden. Wenn diese Eingaben (Prompts) wegen deren Nutzung für das fortlaufende Training zu einem Teil des Modells werden und beispielsweise mit Personen geteilt werden, die eine bestimmte Frage stellen, ist OpenAI für die Einhaltung der DSGVO in diesem Zusammenhang verantwortlich. OpenAI kann sich nicht darauf berufen, dass die Eingabe personenbezogener Daten ohnehin verboten war.
Transparenz und Informationspflichten
Darüber hinaus müssen beim Web Scraping, also beim Extrahieren personenbezogener Daten aus öffentlich zugänglichen Quellen, die Vorgaben des Art. 14 DSGVO beachtet werden. Da durch das Web Scraping große Datenmengen gesammelt werden, wäre es schwer möglich, jede betroffene Person individuell zu informieren. Diesbezüglich könnte, sofern alle Anforderungen erfüllt sind, die Ausnahme nach Art. 14 Abs. 5 lit. b) DSGVO greifen, wonach die Pflicht zur Information eingeschränkt ist, wenn sich die Erteilung der Informationen als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
Wenn jedoch personenbezogene Daten durch direkte Interaktion mit ChatGPT erhoben werden, gelten die Anforderungen von Art. 13 DSGVO. In diesem Fall ist es wichtig, die Nutzer auch darüber zu informieren, dass ihre Eingaben zum Training des Models verwendet werden können.
Richtigkeit der Daten
Gemäß Art.5 Abs 1 lit. d) DSGVO müssen alle erhobenen personenbezogene Daten sachlich richtig und aktuell sein. Problematisch dabei ist, dass ChatGPT aufgrund seiner probabilistischen Natur nicht zwangsläufig sachlich korrekte Informationen generiert. Die durch ChatGPT generierten Informationen können auch verzerrt oder erfunden sein. Dennoch werden die von ChatGPT zur Verfügung gestellten Outputs von Endnutzern oft als sachlich richtig angesehen, unabhängig von ihrer tatsächlichen Genauigkeit.
OpenAI, als für die Verarbeitung Verantwortlicher, hat die Pflicht, Informationen hinsichtlich der Funktionsweise von ChatGPT und der begrenzten Zuverlässigkeit dessen Outputs bereitzustellen. Dies schließt die Notwendigkeit weiterer Maßnahmen nicht aus, die erforderlich sind, um dem Grundsatz der Datenrichtigkeit zu entsprechen.
Rechte der Betroffenen
Angesichts der komplexen Verarbeitungssituation ist es bei ChatGPT laut dem EDSA wichtig, dass die Betroffenen ihre Rechte auf einfache Weise ausüben können. Bei OpenAI ist dies insbesondere per E-Mail möglich, während einige Rechte auch über die Kontoeinstellungen ausgeübt werden können.
OpenAI ist dazu angehalten, weiterhin geeignete Maßnahmen zu ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen, so dass die Anforderungen an die DSGVO erfüllt sind, um so die Rechte der Betroffenen zu schützen.
Fazit
KI-basierte Tools wie ChatGPT bieten den Nutzern zwar viele Vorteile, dennoch müssen sie die Bestimmungen der DSGVO einhalten. Die vorläufige Stellungnahme der ChatGPT-Taskforce betont den Umfang der Verantwortung und Pflichten, die mit dem Betrieb eines Large Language Models einhergehen. Insbesondere stellen Bereiche der Transparenz, Fairness, Datenrichtigkeit und die Datenschutzrechte der Betroffenen erhebliche Herausforderungen dar. Die Einhaltung und Förderung dieser Grundsätze sind entscheidend, um den Schutz der Privatsphäre und die Compliance mit datenschutzrechtlichen Anforderungen zu gewährleisten.
Spannend bleibt, wie sich die EDSA-Taskforce weiterhin im Hinblick auf ChatGPT äußert und ob der Austausch zwischen den Behörden und OpenAI weitere Entwicklungen mit sich bringt.
Unternehmen, die ChatGPT einsetzen, sind gut beraten, die Stellungnahme zur Kenntnis zu nehmen und sich mit den mit ChatGPT-Nutzung verbundenen Risiken auseinanderzusetzen. Auch wenn sich die Prüfung mit den Pflichten von OpenAI befasst, sind viele der angesprochenen Punkte auch für Unternehmen, die ChatGPT oder andere KI-basierte Tools nutzen, zumindest indirekt relevant.
Wir empfehlen Ihnen daher die Lektüre unseres Ratgebers zur DSGVO-Compliance bei der Verarbeitung personenbezogener Daten mittels KI.
