OpenAI steht vor einer weiteren Untersuchung, ob sein generativer KI-Chatbot ChatGPT den Datenschutzgesetzen der Europäischen Union entspricht.
Letzten Monat wurde in Polen eine Beschwerde gegen ChatGPT und OpenAI eingereicht, in der dem Unternehmen eine Reihe von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) der EU vorgeworfen wurden. Gestern hat die polnische Behörde den ungewöhnlichen Schritt unternommen, eine öffentliche Ankündigung um zu bestätigen, dass eine Untersuchung eingeleitet wurde.
„Das Amt für den Schutz personenbezogener Daten [UODO] untersucht eine Beschwerde über ChatGPT, in der der Beschwerdeführer dem Ersteller des Tools, OpenAI, unter anderem vorwirft, Daten auf rechtswidrige und unzuverlässige Weise zu verarbeiten, und die Regeln, nach denen dies geschieht, sind undurchsichtig“, schrieb die UODO in einem Pressemitteilung [translated from Polish to English using DeepL].
Die Behörde sagte, sie rechnet mit einer „schwierigen“ Untersuchung. Sie stellte fest, dass OpenAI außerhalb der EU ansässig ist und wies auf die Neuheit der generativen KI-Chatbot-Technologie hin, deren Konformität sie prüfen werde.
„Der Fall betrifft die Verletzung zahlreicher Bestimmungen zum Schutz personenbezogener Daten, daher werden wir OpenAI bitten, eine Reihe von Fragen zu beantworten, um das Verwaltungsverfahren gründlich durchzuführen“, sagte Jan Nowak, Präsident der UODO, in einer Erklärung.
Vizepräsident Jakub Groszkowski fügte der Behörde eine Warnung hinzu Pressemitteilung – Schreiben, dass neue Technologien nicht außerhalb des rechtlichen Rahmens funktionieren und die DSGVO respektieren müssen. Er sagte, die Beschwerde enthalte Vorwürfe, die Zweifel am systemischen Ansatz von OpenAI hinsichtlich europäischer Datenschutzgrundsätze aufkommen ließen, und fügte hinzu, dass die Behörde „diese Zweifel klären werde, insbesondere vor dem Hintergrund des in der DSGVO enthaltenen Grundprinzips des Datenschutzes durch Technikgestaltung“.
Die Beschwerde wurde von einem örtlichen Datenschutz- und Sicherheitsforscher eingereicht Lukasz Olejnikwirft OpenAI eine Reihe von Verstößen gegen die EU-weite Verordnung vor – in den Bereichen Rechtsgrundlage, Transparenz, Fairness, Datenzugriffsrechte und eingebauter Datenschutz.
Im Mittelpunkt steht die Antwort von OpenAI auf eine Anfrage von Olejnik, falsche personenbezogene Daten in einer von ChatGPT über ihn erstellten Biografie zu korrigieren – was OpenAI ihm jedoch mitteilte, dass dies nicht möglich sei. Er wirft dem KI-Riesen außerdem vor, auf seine Anfrage nach Datenzugriff nicht ordnungsgemäß reagiert zu haben – und ausweichende, irreführende und in sich widersprüchliche Antworten gegeben zu haben, als er versuchte, seine gesetzlichen Rechte auf Datenzugriff auszuüben.
Die Technologie, die ChatGPT zugrunde liegt, ist ein sogenanntes Large Language Model (LLM) – eine Art generatives KI-Modell, das auf Massen natürlicher Sprachdaten trainiert wird, sodass beide auf menschenähnliche Weise reagieren können. Angesichts des allgemeinen Nutzens des Tools wurde es offensichtlich auch auf alle Arten von Informationen trainiert, sodass es auf verschiedene Fragen und Anliegen reagieren kann – in vielen Fällen auch auf die Eingabe von Daten über lebende Menschen.
Das Durchsuchen des öffentlichen Internets durch OpenAI nach Trainingsdaten ohne Wissen oder Zustimmung der Menschen ist einer der großen Faktoren, die ChatGPT in der EU in regulatorische Schwierigkeiten geraten lassen. Es ist offensichtlich nicht in der Lage, genau zu formulieren, wie es personenbezogene Daten verarbeitet. oder um Fehler zu korrigieren, wenn seine KI „halluziniert“ und falsche Informationen über namentlich genannte Personen oder andere produziert.
Der Block regelt die Verarbeitung personenbezogener Daten und verlangt, dass ein Auftragsverarbeiter eine rechtmäßige Grundlage für die Erhebung und Nutzung personenbezogener Daten hat. Auftragsverarbeiter müssen außerdem Transparenz- und Fairnessanforderungen erfüllen. Darüber hinaus wird den Menschen in der EU eine Reihe von Datenzugriffsrechten gewährt, was bedeutet, dass EU-Bürger (unter anderem) das Recht haben, die Berichtigung falscher Daten über sie zu verlangen.
Olejniks Beschwerde testet die DSGVO-Konformität von OpenAI in einer Reihe dieser Dimensionen. Daher könnte jede Durchsetzung für die Entwicklung der generativen KI von Bedeutung sein.
Als Reaktion auf die Bestätigung des UODO, dass es die ChatGPT-Beschwerde untersucht, sagte Olejnik gegenüber Tech: „Der Fokus auf Privacy by Design/Datenschutz durch Design ist absolut entscheidend und ich habe erwartet, dass dies der Hauptaspekt sein würde.“ Das klingt also vernünftig. Es würde die Design- und Bereitstellungsaspekte von LLM-Systemen betreffen.“
Zuvor beschrieb er die Erfahrung, von OpenAI Antworten auf die Verarbeitung seiner Informationen zu erhalten, als ein Gefühl wie Josef K. in Kafkas Buch Der Prozess. „Wenn dies der Josef-K.-Moment für AI/LLM sein könnte, hoffen wir, dass er Licht auf die beteiligten Prozesse wirft“, fügte er jetzt hinzu.
Bemerkenswert ist die relative Geschwindigkeit, mit der die polnische Behörde auf die Beschwerde reagiert, sowie ihre Offenheit gegenüber der Untersuchung.
Dies trägt zu den wachsenden regulatorischen Problemen bei, mit denen OpenAI in der Europäischen Union konfrontiert ist. Die polnische Untersuchung folgt einer Intervention der italienischen Datenschutzbehörde Anfang des Jahres, die zu einer vorübergehenden Aussetzung von ChatGPT im Land führte. Die Prüfung durch die Garantie fährt fort und untersucht auch Bedenken hinsichtlich der Einhaltung der DSGVO im Zusammenhang mit Faktoren wie Rechtsgrundlage und Datenzugriffsrechten.
An anderer Stelle hat die spanische Datenschutzbehörde eine Untersuchung eingeleitet. Während eine Taskforce, die Anfang des Jahres vom Europäischen Datenschutzausschuss eingerichtet wurde, prüft, wie Datenschutzbehörden auf die KI-Chatbot-Technologie reagieren sollten, mit dem Ziel, einen Konsens unter den Datenschutzwächtern des Blocks darüber zu erreichen, wie diese neuartige Technologie reguliert werden soll.
Die Taskforce ersetzt nicht die Ermittlungen einzelner Behörden. In Zukunft könnte dies jedoch zu einer gewissen Harmonisierung bei der Herangehensweise der Datenschutzbehörden an die Regulierung modernster KI führen. Allerdings sind Divergenzen auch dann möglich, wenn es starke und unterschiedliche Ansichten unter den Datenschutzbehörden gibt. Und es bleibt abzuwarten, welche weiteren Durchsetzungsmaßnahmen die Wachhunde des Blocks gegenüber Tools wie ChatGPT ergreifen könnten. (Oder tatsächlich, wie schnell sie handeln können.)
In der Pressemitteilung des UODO – die auf die Existenz der Taskforce verweist – sagt der Präsident, dass die Behörde die ChatGPT-Untersuchung „sehr ernst“ nehme. Er weist außerdem darauf hin, dass die Behauptungen in der Beschwerde nicht die ersten Zweifel an der Einhaltung europäischer Datenschutz- und Privatsphärenvorschriften durch ChatGPT sind.
Maciej Gawronski von der Anwaltskanzlei GP Partners, die Olejnik in der Beschwerde vertritt, erörterte die Offenheit und das Tempo der Behörde und sagte gegenüber Tech: „UODO äußert sich immer deutlicher zu den Themen Privatsphäre, Datenschutz, Technologie und Menschenrechte.“ Ich denke also, dass unsere Beschwerde eine Chance bietet [it] daran zu arbeiten, digitalen und gesellschaftlichen Fortschritt mit individueller Handlungsfähigkeit und Menschenrechten in Einklang zu bringen.
„Bedenken Sie, dass Polen in Sachen IT ein sehr fortschrittliches Land ist. Ich erwarte, dass UODO in seinem Ansatz und seiner Vorgehensweise sehr vernünftig vorgeht. Natürlich, solange OpenAI offen bleibt, zur Diskussion.“
Auf die Frage, ob er eine schnelle Entscheidung über die Beschwerde erwarte, fügte Gawronski hinzu: „Die Behörde beobachtet die technologischen Fortschritte ziemlich genau. Ich bin gerade auf der UODO-Konferenz über neue Technologien. UODO wurde bereits von verschiedenen Akteuren bezüglich KI angesprochen. Allerdings erwarte ich keine schnelle Entscheidung. Es ist auch nicht meine Absicht, das Verfahren vorzeitig abzuschließen. Ich würde es vorziehen, eine ehrliche und aufschlussreiche Diskussion mit OpenAI darüber zu führen, was, wann, wie und wie viel in Bezug auf die DSGVO-Konformität von ChatGPT und insbesondere darüber, wie die Rechte der betroffenen Person gewahrt werden können.“
OpenAI wurde mit der Bitte um einen Kommentar zur Untersuchung der polnischen Datenschutzbehörde kontaktiert, schickte jedoch keine Antwort.
Der KI-Riese bleibt angesichts der immer komplexer werdenden Regulierungslage in der EU nicht stehen. Das Unternehmen hat kürzlich die Eröffnung eines Büros in Dublin, Irland, angekündigt – wahrscheinlich mit dem Ziel, seine regulatorische Situation im Datenschutz zu rationalisieren, wenn es etwaige DSGVO-Beschwerden über Irland weiterleiten kann.
Derzeit gilt das US-Unternehmen jedoch für DSGVO-Zwecke in keinem EU-Mitgliedstaat (einschließlich Irland) als „Hauptniederlassung“, da Entscheidungen, die lokale Benutzer betreffen, weiterhin in seinem US-Hauptsitz in Kalifornien getroffen werden. Bisher ist das Dubliner Büro nur ein winziger Satellit. Dies bedeutet, dass Datenschutzbehörden im gesamten Block weiterhin befugt sind, Bedenken hinsichtlich ChatGPT zu untersuchen, die in ihrem Patch auftreten. Es könnten also weitere Untersuchungen folgen.
Beschwerden, die vor einer künftigen Änderung des Hauptniederlassungsstatus für OpenAI liegen, könnten auch weiterhin überall in der EU eingereicht werden.