Ein paar Tage, nachdem OpenAI eine Reihe von Datenschutzkontrollen für seinen generativen KI-Chatbot ChatGPT angekündigt hatte, wurde der Dienst für Benutzer in Italien wieder verfügbar gemacht – wodurch (vorerst) eine vorzeitige behördliche Aussetzung in einem der 27 Mitgliedstaaten der Europäischen Union behoben wurde. auch wenn eine lokale Untersuchung der Einhaltung der Datenschutzbestimmungen der Region fortgesetzt wird.
Zum Zeitpunkt des Verfassens dieses Artikels werden Webbenutzer, die von einer italienischen IP-Adresse zu ChatGPT surfen, nicht mehr von einer Benachrichtigung begrüßt, die sie darüber informiert, dass der Dienst „für Benutzer in Italien deaktiviert“ ist. Stattdessen werden sie von einer Notiz empfangen, in der es heißt, OpenAI sei „gerne, ChatGPT in Italien wieder anzubieten“.
Das Pop-up schreibt weiter vor, dass Benutzer bestätigen müssen, dass sie 18+ oder 13+ mit Zustimmung eines Elternteils oder Erziehungsberechtigten sind, um den Dienst zu nutzen – indem sie auf eine Schaltfläche mit der Aufschrift „Ich erfülle die Altersanforderungen von OpenAI“ klicken.
Der Text der Benachrichtigung macht auch auf die Datenschutzrichtlinie von OpenAI aufmerksam und verlinkt auf einen Artikel im Hilfezentrum, in dem das Unternehmen sagt, dass es Informationen darüber bereitstellt, „wie wir ChatGPT entwickeln und trainieren“.
Die Änderungen, wie OpenAI Benutzern in Italien ChatGPT präsentiert, sollen eine anfängliche Reihe von Bedingungen erfüllen, die von der lokalen Datenschutzbehörde (DPA) festgelegt wurden, damit es den Dienst mit kontrolliertem regulatorischem Risiko wieder aufnehmen kann.
Kurze Zusammenfassung der Hintergrundgeschichte hier: Ende letzten Monats ordnete die italienische Garante einen vorübergehenden Stopp der Verarbeitung von ChatGPT an und sagte, sie sei besorgt, dass die Dienste gegen EU-Datenschutzgesetze verstoßen. Außerdem leitete sie eine Untersuchung zu mutmaßlichen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) ein.
OpenAI reagierte schnell auf die Intervention, indem es Anfang dieses Monats Benutzer mit italienischen IP-Adressen geoblockte.
Ein paar Wochen später folgte die Garante, die eine Liste mit Maßnahmen herausgab, die OpenAI umsetzen muss, damit die Suspendierungsanordnung bis Ende April aufgehoben wird – einschließlich der Hinzufügung einer Altersbeschränkung, um Minderjährige am Zugriff auf den Dienst zu hindern und Änderung der geltend gemachten Rechtsgrundlage für die Verarbeitung der Daten lokaler Nutzer.
Die Regulierungsbehörde sah sich in Italien und anderswo in Europa wegen der Intervention mit politischer Flak konfrontiert. Obwohl es nicht die einzige Datenschutzbehörde ist, die Bedenken äußert, haben die Regulierungsbehörden des Blocks Anfang dieses Monats vereinbart, eine Task Force mit Schwerpunkt auf ChatGPT einzurichten, um Untersuchungen und die Zusammenarbeit bei etwaigen Durchsetzungen zu unterstützen.
In einem Pressemitteilung Heute herausgegeben, in dem die Wiederaufnahme des Dienstes in Italien angekündigt wurde, sagte die Garante, OpenAI habe ihr einen Brief geschickt, in dem die Maßnahmen aufgeführt seien, die als Reaktion auf die frühere Anordnung umgesetzt wurden – und schrieb: „OpenAI erklärte, dass es die Informationen auf europäische Benutzer und Nichtbenutzer ausgeweitet habe, die es hatte mehrere Mechanismen geändert und präzisiert und zugängliche Lösungen bereitgestellt, um es Benutzern und Nichtbenutzern zu ermöglichen, ihre Rechte auszuüben. Basierend auf diesen Verbesserungen hat OpenAI den Zugang zu ChatGPT für italienische Benutzer wiederhergestellt.“
Die DPA geht detaillierter auf die von OpenAI unternommenen Schritte ein und sagt, OpenAI habe seine Datenschutzrichtlinie erweitert und Benutzern und Nichtbenutzern mehr Informationen über die personenbezogenen Daten bereitgestellt, die zum Trainieren seiner Algorithmen verarbeitet werden, einschließlich der Festlegung, dass jeder das Recht hat, sich abzumelden einer solchen Verarbeitung – was darauf hindeutet, dass sich das Unternehmen nun auf einen Anspruch auf berechtigte Interessen als Rechtsgrundlage für die Verarbeitung von Daten zum Trainieren seiner Algorithmen stützt (da diese Grundlage erfordert, dass es ein Opt-out anbietet).
Darüber hinaus enthüllt die Garante, dass OpenAI Schritte unternommen hat, um Europäern eine Möglichkeit zu bieten, zu verlangen, dass ihre Daten nicht zum Trainieren der KI verwendet werden (Anfragen können über ein Online-Formular gestellt werden) – und ihnen „Mechanismen“ zur Verfügung stellen. ihre Daten löschen zu lassen.
Es teilte der Aufsichtsbehörde auch mit, dass es nicht in der Lage sei, den Fehler von Chatbots zu beheben, die zu diesem Zeitpunkt falsche Informationen über namentlich genannte Personen erfinden. Daher die Einführung von „Mechanismen, die es betroffenen Personen ermöglichen, die Löschung von Informationen zu erreichen, die als unrichtig angesehen werden“.
Europäische Nutzer, die der Verarbeitung ihrer personenbezogenen Daten für das Training ihrer KI widersprechen möchten, können dies auch über ein Formular tun, das OpenAI zur Verfügung gestellt hat, das laut DPA „damit ihre Chats und ihren Chatverlauf aus den für das Training verwendeten Daten herausfiltern wird Algorithmen“.
Die Intervention der italienischen Datenschutzbehörde hat also zu einigen bemerkenswerten Änderungen des Kontrollniveaus geführt, das ChatGPT den Europäern bietet.
Allerdings ist noch nicht klar, ob die Optimierungen, die OpenAI so schnell implementiert hat, weit genug gehen (oder können), um alle Bedenken hinsichtlich der DSGVO auszuräumen.
So ist zum Beispiel nicht klar, ob die personenbezogenen Daten Italiens, die historisch zum Trainieren des GPT-Modells verwendet wurden, dh als es öffentliche Daten aus dem Internet kratzte, auf einer gültigen Rechtsgrundlage verarbeitet wurden – oder ob Daten tatsächlich zum Trainieren von Modellen verwendet wurden zuvor gelöscht werden oder können gelöscht werden, wenn Benutzer verlangen, dass ihre Daten jetzt gelöscht werden.
Die große Frage bleibt, auf welcher Rechtsgrundlage OpenAI überhaupt die Informationen von Menschen verarbeiten musste, als das Unternehmen noch nicht so offen darüber war, welche Daten es verwendete.
Das US-Unternehmen scheint zu hoffen, die erhobenen Einwände darüber, was es mit den Informationen der Europäer macht, einzudämmen, indem es jetzt einige begrenzte Kontrollen vorsieht, die auf neu eingehende personenbezogene Daten angewendet werden, in der Hoffnung, dass dies das umfassendere Problem aller regionalen personenbezogenen Daten verwischt Die Verarbeitung erfolgt historisch.
Auf die Frage nach den implementierten Änderungen schickte ein OpenAI-Sprecher diese zusammenfassende Erklärung per E-Mail an Tech:
ChatGPT steht unseren Benutzern in Italien wieder zur Verfügung. Wir freuen uns, sie wieder bei uns begrüßen zu dürfen, und setzen uns weiterhin für den Schutz ihrer Privatsphäre ein. Wir haben die von der Garante aufgeworfenen Probleme angesprochen oder geklärt, darunter:
Wir schätzen die Garante für ihre Zusammenarbeit und freuen uns auf weitere konstruktive Diskussionen.
Im Hilfecenter-Artikel gibt OpenAI zu, dass es personenbezogene Daten verarbeitet hat, um ChatGPT zu trainieren, während es versucht zu behaupten, dass es nicht wirklich die Absicht hatte, dies zu tun, sondern das Zeug nur im Internet herumlag – oder wie es heißt: „Viele Daten im Internet sind personenbezogen, daher beinhalten unsere Trainingsinformationen im Übrigen personenbezogene Daten. Wir suchen nicht aktiv nach persönlichen Informationen, um unsere Modelle zu trainieren.“
Was sich wie ein netter Versuch liest, die Anforderung der DSGVO zu umgehen, dass es eine gültige Rechtsgrundlage für die Verarbeitung dieser zufällig gefundenen personenbezogenen Daten gibt.
OpenAI baut seine Verteidigung in einem (bejahenden) Abschnitt mit dem Titel „Wie entspricht die Entwicklung von ChatGPT den Datenschutzgesetzen?“ weiter aus. — in dem es vorschlägt, dass es die Daten von Personen rechtmäßig verwendet hat, weil A) es beabsichtigte, dass sein Chatbot nützlich ist; B) es hatte keine Wahl, da viele Daten benötigt wurden, um die KI-Technologie zu bauen; und C) es behauptet, es habe nicht die Absicht gehabt, Einzelpersonen negativ zu beeinflussen.
„Aus diesen Gründen stützen wir unsere Erfassung und Verwendung personenbezogener Daten, die in Schulungsinformationen enthalten sind, auf berechtigte Interessen gemäß Datenschutzgesetzen wie der DSGVO“, schreibt sie auch und fügt hinzu: „Um unseren Compliance-Verpflichtungen nachzukommen, haben wir auch eine abgeschlossen Datenschutz-Folgenabschätzung, um sicherzustellen, dass wir diese Informationen rechtmäßig und verantwortungsbewusst erfassen und verwenden.“
Auch hier läuft die Verteidigung von OpenAI gegen den Vorwurf des Verstoßes gegen das Datenschutzgesetz im Wesentlichen darauf hinaus: „Aber wir haben es doch nicht böse gemeint, Officer!“
Sein Erklärtext enthält auch einige fettgedruckte Texte, um die Behauptung zu betonen, dass er diese Daten nicht verwendet, um Profile über Einzelpersonen zu erstellen; sie kontaktieren oder für sie werben; oder versuchen, ihnen etwas zu verkaufen. Nichts davon ist relevant für die Frage, ob seine Datenverarbeitungsaktivitäten gegen die DSGVO verstoßen haben oder nicht.
Die italienische Datenschutzbehörde bestätigte uns, dass ihre Untersuchung dieses auffälligen Problems fortgesetzt wird.
In ihrer Aktualisierung stellt die Garante auch fest, dass sie erwartet, dass OpenAI zusätzlichen Anforderungen nachkommt, die in ihrer Anordnung vom 11. April festgelegt sind, und weist auf die Anforderung hin, ein Altersüberprüfungssystem zu implementieren (um Minderjährige stärker daran zu hindern, auf den Dienst zuzugreifen); und eine lokale Informationskampagne durchzuführen, um die Italiener darüber zu informieren, wie sie ihre Daten verarbeitet und ihr Recht, der Verarbeitung ihrer personenbezogenen Daten zum Trainieren ihrer Algorithmen zu widersprechen.
„Die italienische SA [supervisory authority] erkennt die von OpenAI unternommenen Schritte an, um den technologischen Fortschritt mit der Achtung der Rechte des Einzelnen in Einklang zu bringen, und hofft, dass das Unternehmen seine Bemühungen zur Einhaltung der europäischen Datenschutzgesetzgebung fortsetzen wird“, fügt es hinzu, bevor es betont, dass dies nur der erste Schritt ist in diesem Regulierungstanz.
Ergo müssen alle verschiedenen Behauptungen von OpenAI, 100% gutgläubig zu sein, noch robust getestet werden.