Wie wir bereits berichteten, ist Googles KI-Chatbot Bard endlich in der Europäischen Union eingeführt. Wir gehen davon aus, dass dies geschah, nachdem einige Änderungen vorgenommen wurden, um die Transparenz und Benutzerkontrolle zu erhöhen – aber die Datenschutzbehörden des Blocks bleiben wachsam und wichtige Entscheidungen darüber, wie das Datenschutzgesetz des Blocks in Bezug auf generative KI durchgesetzt werden soll, müssen noch getroffen werden.
Die führende Datenschutzbehörde von Google in der Region, die Irish Data Protection Commission (DPC), teilte uns mit, dass sie nach der Markteinführung weiterhin mit dem Technologieriesen auf Bard zusammenarbeiten werde. Das DPC sagte außerdem, Google habe zugestimmt, innerhalb von drei Monaten (etwa Mitte Oktober) eine Überprüfung durchzuführen und der Aufsichtsbehörde Bericht zu erstatten. Daher wird es in den kommenden Monaten mehr behördliche Aufmerksamkeit für den KI-Chatbot geben – wenn nicht (noch) eine formelle Untersuchung.
Gleichzeitig hat der Europäische Datenschutzausschuss (EDPB) eine Taskforce eingerichtet, die die Einhaltung der EU-weiten Datenschutz-Grundverordnung (DSGVO) durch KI-Chatbots prüft. Die Taskforce konzentrierte sich zunächst auf ChatGPT von OpenAI, aber wir gehen davon aus, dass Bard-Angelegenheiten in die Arbeit einbezogen werden, die darauf abzielt, Maßnahmen zu koordinieren, die möglicherweise von verschiedenen Datenschutzbehörden (DPA) ergriffen werden, um die Durchsetzung zu harmonisieren.
„Google hat im Vorfeld eine Reihe von Änderungen vorgenommen [Bard’s] Einführung, insbesondere erhöhte Transparenz und Änderungen der Kontrollen für Benutzer. Wir werden unsere Zusammenarbeit mit Google in Bezug auf Bard nach der Markteinführung fortsetzen und Google hat zugestimmt, eine Überprüfung durchzuführen und dem DPC einen Bericht vorzulegen, nachdem Bard drei Monate lang in der EU in Betrieb genommen wurde“, sagte Graham Doyle, stellvertretender Kommissar des DPC.
„Darüber hinaus hat der Europäische Datenschutzausschuss Anfang des Jahres eine Task Force eingerichtet, in der wir Mitglied sind und die sich mit einer Vielzahl von Themen in diesem Bereich befassen wird“, fügte er hinzu.
Der EU-Start von Googles Rivalen ChatGPT verzögerte sich letzten Monat, nachdem die irische Regulierungsbehörde dringend Informationen eingeholt hatte, die Google ihr nicht zur Verfügung gestellt hatte. Dazu gehörte auch, dass der DPC keinen Einblick in eine Datenschutz-Folgenabschätzung (DPIA) erhielt – ein wichtiges Compliance-Dokument zur Identifizierung potenzieller Risiken für Grundrechte und zur Bewertung von Abhilfemaßnahmen. Wenn es also nicht gelingt, eine Datenschutz-Folgenabschätzung (DSFA) umzusetzen, ist dies ein großes regulatorisches Warnsignal.
Doyle bestätigte gegenüber Tech, dass der DPC nun eine DPIA für Bard gesehen hat.
Er sagte, dass dies zusammen mit anderen „relevanten“ Dokumenten eines der Dokumente sein werde, die seiner Meinung nach Teil der dreimonatigen Überprüfung sein werden, und fügte hinzu: „DPIAs sind lebende Dokumente und können geändert werden.“
In einem (n offizieller Blogbeitrag Google machte zunächst keine Angaben zu konkreten Schritten zur Verringerung seines Regulierungsrisikos in der EU, gab jedoch an, dass es „bei dieser Ausweitung proaktiv mit Experten, politischen Entscheidungsträgern und Datenschutzbehörden zusammengearbeitet“ habe.
Wir wandten uns an den Technologieriesen mit Fragen zu den Optimierungen in den Bereichen Transparenz und Benutzerkontrolle, die vor der Einführung von Bard in der EU vorgenommen wurden, und eine Sprecherin hob eine Reihe von Bereichen hervor, auf die das Unternehmen geachtet hat und die ihrer Meinung nach eine verantwortungsvolle Einführung der Technologie gewährleisten würden – einschließlich Beschränkung des Zugriffs auf Bard auf Nutzer ab 18 Jahren, die über ein Google-Konto verfügen.
Eine große Änderung besteht darin, dass sie ein neues markiert hat Bard Privacy Hub Sie schlug vor, dass es Benutzern leichter fällt, Erläuterungen zu den verfügbaren Datenschutzkontrollen zu lesen.
Gemäß den Informationen in diesem Hub umfassen die von Google behaupteten Rechtsgrundlagen für Bard die Erfüllung eines Vertrags und berechtigte Interessen. Allerdings scheint es sich für den Großteil der damit verbundenen Verarbeitung am stärksten auf die letztgenannte Grundlage zu stützen. (Es wird außerdem darauf hingewiesen, dass bei der Entwicklung des Produkts möglicherweise die Zustimmung zur Verarbeitung von Daten für bestimmte Zwecke eingeholt wird.)
Außerdem scheint laut Hub die einzige klar gekennzeichnete Option zum Löschen von Daten, die Google den Nutzern anzubieten scheint, die Möglichkeit zu sein, ihre eigenen Bard-Nutzungsaktivitäten zu löschen – es gibt keine offensichtliche Möglichkeit für Nutzer, Google aufzufordern, persönliche Daten zu löschen, die zum Trainieren des Chatbots verwendet werden.
Obwohl es eine bietet Web-Formular Hiermit können Benutzer ein Problem oder eine rechtliche Angelegenheit melden. Dabei wird festgelegt, dass Benutzer eine Berichtigung falscher über sie generierter Informationen verlangen oder der Verarbeitung ihrer Daten widersprechen können (letzteres ist eine Voraussetzung, wenn Sie sich bei der Verarbeitung auf berechtigte Interessen berufen). nach EU-Recht).
Ein weiteres Webformular, das Google anbietet, ermöglicht es Nutzern die Entfernung von Inhalten beantragen gemäß seinen eigenen Richtlinien oder geltenden Gesetzen (was ganz offensichtlich Urheberrechtsverletzungen impliziert, aber Google empfiehlt Nutzern auch, dieses Formular zu nutzen, wenn sie Einspruch gegen die Verarbeitung ihrer Daten einlegen oder eine Korrektur beantragen möchten – das ist also scheinbar so schließen, wenn Sie zur Option „Meine Daten aus Ihrem KI-Modell löschen“ gelangen.
Weitere Optimierungen, auf die die Google-Sprecherin verwies, beziehen sich auf die Kontrolle der Nutzer über die Speicherung ihrer Bard-Aktivitätsdaten – oder sogar auf die Möglichkeit, ihre Aktivitäten nicht protokollieren zu lassen.
„Benutzer können auch auswählen, wie lange Bard ihre Daten in ihrem Google-Konto speichert. Standardmäßig speichert Google ihre Bard-Aktivitäten bis zu 18 Monate lang in ihrem Google-Konto. Benutzer können dies jedoch bei Bedarf auf drei oder 36 Monate ändern. Sie können dies auch komplett ausschalten und Ihre Bardenaktivität ganz einfach unter löschen g.co/bard/myactivity“, sagte die Sprecherin.
Auf den ersten Blick ähnelt Googles Ansatz im Bereich Transparenz und Benutzerkontrolle mit Bard den Änderungen, die OpenAI nach einer behördlichen Prüfung durch die italienische Datenschutzbehörde an ChatGPT vorgenommen hat.
Der Garantie Anfang des Jahres erregte es Aufmerksamkeit, als es OpenAI anwies, den Dienst vor Ort einzustellen – und gleichzeitig eine ganze Reihe von Datenschutzbedenken aufzeigte.
ChatGPT konnte den Dienst in Italien nach einigen Wochen wieder aufnehmen, indem die ursprüngliche DPA-To-Do-Liste umgesetzt wurde. Dazu gehörte das Hinzufügen von Datenschutzoffenlegungen über die Datenverarbeitung, die zur Entwicklung und Schulung von ChatGPT verwendet wird; Bereitstellung der Möglichkeit für Benutzer, sich von der Datenverarbeitung zum Training ihrer KIs abzumelden; und bietet Europäern die Möglichkeit, die Löschung ihrer Daten zu verlangen, auch wenn es nicht in der Lage war, vom Chatbot über Personen generierte Fehler zu beheben.
OpenAI musste in naher Zukunft außerdem eine Altersgrenze hinzufügen und an der Einführung einer robusteren Alterssicherungstechnologie arbeiten, um Bedenken hinsichtlich der Sicherheit von Kindern auszuräumen.
Darüber hinaus wies Italien OpenAI an, Verweise auf die Erfüllung eines Vertrags als Rechtsgrundlage für die Verarbeitung zu streichen – mit der Begründung, das Unternehmen könne sich nur auf Einwilligung oder berechtigte Interessen stützen. (Als ChatGPT den Dienst in Italien wieder aufnahm, schien sich OpenAI auf LI als Rechtsgrundlage zu verlassen.) Und in diesem Zusammenhang verstehen wir, dass die Rechtsgrundlage eines der Themen ist, mit denen sich die EDPB-Taskforce befasst.
Die italienische Datenschutzbehörde zwang OpenAI nicht nur zu einer Reihe sofortiger Änderungen als Reaktion auf ihre Bedenken, sondern leitete auch eine eigene Untersuchung von ChatGPT ein. Ein Sprecher der Garantie hat uns heute bestätigt, dass diese Untersuchung noch andauert.
Andere EU-Datenschutzbehörden haben ebenfalls erklärt, dass sie ChatGPT untersuchen – das für behördliche Untersuchungen aus dem gesamten Block offen ist, da es im Gegensatz zu Google in keinem Mitgliedstaat ansässig ist.
Das bedeutet, dass für den Chatbot von OpenAI möglicherweise ein größeres regulatorisches Risiko und eine größere Unsicherheit besteht als für den Chatbot von Google (der, wie wir sagen, noch keiner formellen Untersuchung durch das DPC unterliegt) – sicherlich handelt es sich um ein komplexeres Compliance-Bild, da das Unternehmen sich mit eingehenden Daten befassen muss mehrere Regulierungsbehörden und nicht nur eine federführende Datenschutzbehörde.
Die EDPB-Taskforce könnte dazu beitragen, die regulatorische Unsicherheit in diesem Bereich etwas zu verringern, wenn sich die Datenschutzbehörden der EU auf gemeinsame Durchsetzungspositionen zu KI-Chatbots einigen können.
Allerdings legen einige Behörden bereits ihre eigene strategische Haltung zu generativen KI-Technologien dar. Die französische CNIL beispielsweise veröffentlichte Anfang des Jahres einen KI-Aktionsplan, in dem sie festlegte, dass sie besonderes Augenmerk auf den Schutz öffentlich verfügbarer Daten im Web vor Scarping legen würde – eine Praxis, die sowohl OpenAI als auch Google bei der Entwicklung großer Sprachmodelle wie ChatGPT anwenden und Bard.
Daher ist es unwahrscheinlich, dass die Taskforce zu einem vollständigen Konsens zwischen den Datenschutzbehörden über den Umgang mit Chatbots führen wird, und einige unterschiedliche Ansätze scheinen unvermeidlich.