OpenAI sieht sich mit einer weiteren Datenschutzbeschwerde in der Europäischen Union konfrontiert. Dieses hier wurde von einer gemeinnützigen Organisation für Datenschutzrechte eingereicht noyb im Namen eines einzelnen Beschwerdeführers zielt auf die Unfähigkeit seines KI-Chatbots ChatGPT ab, Fehlinformationen zu korrigieren, die er über Einzelpersonen generiert.
Die Tendenz von GenAI-Tools, Informationen zu produzieren, die schlichtweg falsch sind, ist gut dokumentiert. Es bringt die Technologie aber auch auf Kollisionskurs mit der Datenschutz-Grundverordnung (DSGVO) des Blocks, die regelt, wie die personenbezogenen Daten regionaler Nutzer verarbeitet werden dürfen.
Die Strafen für Verstöße gegen die DSGVO können bis zu 4 % des weltweiten Jahresumsatzes ausmachen. Noch wichtiger für einen ressourcenreichen Giganten wie OpenAI: Datenschutzbehörden können Änderungen bei der Verarbeitung von Informationen anordnen, sodass die Durchsetzung der DSGVO die Funktionsweise generativer KI-Tools in der EU verändern könnte.
OpenAI war bereits zu einigen Änderungen gezwungen, nachdem die italienische Datenschutzbehörde frühzeitig eingegriffen hatte und im Jahr 2023 kurzzeitig eine lokale Abschaltung von ChatGPT erzwang.
Nun reicht noyb im Namen eines namentlich nicht genannten Beschwerdeführers bei der österreichischen Datenschutzbehörde die neueste DSGVO-Beschwerde gegen ChatGPT ein, die feststellte, dass der KI-Chatbot ein falsches Geburtsdatum für sie ermittelt hatte.
Nach der DSGVO haben Menschen in der EU eine Reihe von Rechten, die mit der Information über sie verbunden sind, einschließlich des Rechts auf Berichtigung fehlerhafter Daten. noyb behauptet, dass OpenAI dieser Verpflichtung in Bezug auf die Ausgabe seines Chatbots nicht nachkommt. Das Unternehmen lehnte den Antrag des Beschwerdeführers auf Berichtigung des falschen Geburtsdatums mit der Begründung ab, dass eine Korrektur technisch unmöglich sei.
Stattdessen wurde angeboten, die Daten nach bestimmten Eingabeaufforderungen zu filtern oder zu blockieren, beispielsweise nach dem Namen des Beschwerdeführers.
OpenAIs Datenschutzrichtlinie gibt an, dass Benutzer, die bemerken, dass der KI-Chatbot „sachlich ungenaue Informationen über Sie“ generiert hat, eine „Korrekturanfrage“ einreichen können privatsphäre.openai.com oder per E-Mail an [email protected]. Allerdings gibt es einen Vorbehalt mit der Warnung: „Angesichts der technischen Komplexität der Funktionsweise unserer Modelle sind wir möglicherweise nicht in der Lage, die Ungenauigkeit in jedem Fall zu korrigieren.“
In diesem Fall schlägt OpenAI vor, dass Benutzer beantragen, dass ihre persönlichen Daten vollständig aus der Ausgabe von ChatGPT entfernt werden – indem sie ein Formular ausfüllen Web-Formular.
Das Problem für den KI-Riesen besteht darin, dass die DSGVO-Rechte nicht à la carte gelten. Die Menschen in Europa haben das Recht, eine Berichtigung zu verlangen. Sie haben außerdem das Recht, die Löschung ihrer Daten zu verlangen. Aber wie noyb betont, ist es nicht Sache von OpenAI, zu entscheiden, welche dieser Rechte verfügbar sind.
Andere Elemente der Beschwerde konzentrieren sich auf Bedenken hinsichtlich der DSGVO-Transparenz. Noyb behauptet, OpenAI sei nicht in der Lage, zu sagen, woher die von ihm über Einzelpersonen generierten Daten stammen und auch nicht, welche Daten der Chatbot über Personen speichert.
Dies ist wichtig, da die Verordnung wiederum Einzelpersonen das Recht einräumt, solche Informationen anzufordern, indem sie einen sogenannten Subject Access Request (SAR) stellen. Laut noyb reagierte OpenAI nicht angemessen auf die Verdachtsmeldung des Beschwerdeführers und gab keine Informationen über die verarbeiteten Daten, deren Quellen oder Empfänger bekannt.
Maartje de Graaf, Datenschutzanwältin bei noyb, kommentierte die Beschwerde in einer Stellungnahme: „Das Erfinden falscher Informationen ist an sich schon ziemlich problematisch.“ Doch wenn es um falsche Angaben zu Personen geht, kann das schwerwiegende Folgen haben. Es ist klar, dass Unternehmen derzeit nicht in der Lage sind, Chatbots wie ChatGPT bei der Verarbeitung von Daten über Einzelpersonen mit EU-Recht in Einklang zu bringen. Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, kann es nicht zur Generierung von Daten über Einzelpersonen verwendet werden. Die Technik muss den gesetzlichen Vorgaben folgen, nicht umgekehrt.“
Das Unternehmen sagte, es bitte die österreichische Datenschutzbehörde, die Beschwerde über die Datenverarbeitung durch OpenAI zu untersuchen, und dränge sie, eine Geldstrafe zu verhängen, um die künftige Einhaltung sicherzustellen. Es fügte jedoch hinzu, dass es „wahrscheinlich“ sei, dass der Fall im Rahmen der EU-Kooperation gelöst werde.
OpenAI sieht sich in Polen mit einer sehr ähnlichen Beschwerde konfrontiert. Im vergangenen September leitete die örtliche Datenschutzbehörde eine Untersuchung gegen ChatGPT ein, nachdem ein Datenschutz- und Sicherheitsforscher eine Beschwerde eingereicht hatte, die ebenfalls feststellte, dass er nicht in der Lage sei, falsche Informationen über ihn von OpenAI korrigieren zu lassen. In dieser Beschwerde wird dem KI-Riesen auch vorgeworfen, die Transparenzanforderungen der Verordnung nicht einzuhalten.
Die italienische Datenschutzbehörde hat unterdessen noch eine laufende Untersuchung zu ChatGPT. Im Januar legte das Unternehmen einen Entscheidungsentwurf vor, in dem es hieß, es sei der Ansicht, dass OpenAI auf verschiedene Weise gegen die DSGVO verstoßen habe, unter anderem im Zusammenhang mit der Tendenz des Chatbots, Fehlinformationen über Personen zu produzieren. Die Feststellungen betreffen auch andere Kernfragen, etwa die Rechtmäßigkeit der Verarbeitung.
Die italienische Behörde gab OpenAI einen Monat Zeit, um auf ihre Ergebnisse zu reagieren. Eine endgültige Entscheidung steht noch aus.
Nachdem nun eine weitere DSGVO-Beschwerde gegen den Chatbot des Unternehmens eingereicht wurde, ist das Risiko gestiegen, dass OpenAI mit einer Reihe von DSGVO-Durchsetzungsmaßnahmen in verschiedenen Mitgliedstaaten konfrontiert wird.
Im vergangenen Herbst eröffnete das Unternehmen ein Regionalbüro in Dublin – ein Schritt, der offenbar darauf abzielt, sein regulatorisches Risiko zu verringern, indem Datenschutzbeschwerden von der irischen Datenschutzkommission weitergeleitet werden, dank eines Mechanismus in der DSGVO, der die Aufsicht über grenzüberschreitende Beschwerden rationalisieren soll indem sie sie an eine einzige Behörde eines Mitgliedstaats weiterleiten, in dem das Unternehmen seinen „Hauptsitz“ hat.