Italiens Datenschutzbeauftragte hat dargelegt, was OpenAI tun muss, um eine Ende letzten Monats ergangene Anordnung gegen ChatGPT aufzuheben – als sie sagte, sie habe einen Verdacht Der KI-Chatbot-Dienst verstieß gegen die EU-Datenschutz-Grundverordnung (DSGVO) und wies das in den USA ansässige Unternehmen an, die Verarbeitung der Daten der Einheimischen einzustellen.
Die EU-DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden, und es besteht kein Zweifel, dass große Sprachmodelle wie das GPT von OpenAI große Mengen des Materials aus dem öffentlichen Internet geholt haben, um ihre generativen KI-Modelle so zu trainieren, dass sie menschenähnlich reagieren können Weg zu natürlichsprachlichen Eingabeaufforderungen.
OpenAI hat auf die Anordnung der italienischen Datenschutzbehörde umgehend reagiert Geoblocking-Zugang ChatGPT. In einer kurzen öffentlichen Erklärung auch CEO Sam Altman getwittert Bestätigung, dass es den Dienst in Italien nicht mehr anbietet – und zwar neben dem üblichen Big Tech-Vorbehalt, dass es „denkt[s] wir befolgen alle Datenschutzgesetze“.
Italiens Garantie ist offenbar anderer Meinung.
Die Kurzfassung der neuen Compliance-Forderung der Regulierungsbehörde lautet: OpenAI muss transparent werden und eine Informationsmitteilung über seine Datenverarbeitung veröffentlichen; es muss sofort eine Altersbeschränkung einführen, um zu verhindern, dass Minderjährige auf die Technologie zugreifen, und zu robusteren Maßnahmen zur Altersüberprüfung übergehen; es muss die Rechtsgrundlage klären, die es für die Verarbeitung von Personendaten für das Training seiner KI beansprucht (und kann sich nicht auf die Erfüllung eines Vertrags verlassen – das heißt, es muss zwischen Zustimmung oder berechtigten Interessen wählen); es muss Benutzern (und Nichtbenutzern) auch Möglichkeiten bieten, Rechte an ihren personenbezogenen Daten auszuüben, einschließlich der Aufforderung zur Korrektur von Desinformationen, die von ChatGPT über sie generiert wurden (oder ihre Daten löschen lassen); es muss Benutzern auch die Möglichkeit bieten, der Verarbeitung ihrer Daten durch OpenAI zum Trainieren seiner Algorithmen zu widersprechen; und es muss eine lokale Sensibilisierungskampagne durchführen, um die Italiener darüber zu informieren, dass es ihre Informationen verarbeitet, um seine KIs zu schulen.
Die DPA hat OpenAI eine Frist – den 30. April – gesetzt, um das meiste davon zu erledigen. (Die lokale Radio-, Fernseh- und Internet-Sensibilisierungskampagne hat einen etwas großzügigeren Zeitplan, der bis zum 15. Mai umgesetzt werden muss.)
Es bleibt auch ein wenig mehr Zeit für die zusätzliche Anforderung, von der sofort erforderlichen (aber schwachen) Alterssicherungstechnologie für Kinder zu einem schwerer zu umgehenden Altersüberprüfungssystem zu migrieren. OpenAI wurde bis zum 31. Mai gegeben einen Plan für die Implementierung einer Altersüberprüfungstechnologie vorzulegen, um Benutzer unter 13 Jahren (und Benutzer im Alter von 13 bis 18 Jahren, bei denen keine elterliche Zustimmung eingeholt wurde) herauszufiltern – mit der Frist für die Einrichtung dieses robusteren Systems am 30. September.
In einem Pressemitteilung Darin wird detailliert beschrieben, was OpenAI tun muss, um die vorübergehende Aussetzung von ChatGPT aufzuheben, die vor zwei Wochen angeordnet wurde, als die Regulierungsbehörde ankündigte, dass sie eine formelle Untersuchung mutmaßlicher DSGVO-Verstöße einleiten werde, und schreibt:
OpenAI muss bis zum 30. April die von der italienischen SA festgelegten Maßnahmen erfüllen [supervisory authority] in Bezug auf Transparenz, die Rechte betroffener Personen – einschließlich Benutzer und Nichtbenutzer – und die Rechtsgrundlage der Verarbeitung für algorithmisches Training auf der Grundlage von Benutzerdaten. Nur in diesem Fall wird die italienische SA ihre Anordnung aufheben, die eine vorübergehende Beschränkung der Verarbeitung italienischer Benutzerdaten auferlegt hat, da die der Anordnung zugrunde liegende Dringlichkeit nicht mehr besteht, sodass ChatGPT wieder aus Italien verfügbar sein wird.
Um detaillierter auf jede der erforderlichen „konkreten Maßnahmen“ einzugehen, schreibt die DPA vor, dass die vorgeschriebene Informationsmitteilung „die Vorkehrungen und die Logik der Datenverarbeitung beschreiben muss, die für den Betrieb von ChatGPT erforderlich sind, zusammen mit den Rechten, die den betroffenen Personen (Benutzern und Nichtnutzer)“, und fügte hinzu, dass es „leicht zugänglich und so platziert sein muss, dass es gelesen werden kann, bevor man sich für den Dienst anmeldet“.
Benutzern aus Italien muss diese Mitteilung vor der Anmeldung vorgelegt werden und sie müssen außerdem bestätigen, dass sie über 18 Jahre alt sind, was weiter erforderlich ist. Während Benutzern, die sich vor dem Stopp der Datenverarbeitungsanordnung der DPA registriert haben, der Hinweis angezeigt werden muss, wenn sie auf den reaktivierten Dienst zugreifen, und sie auch durch eine Altersschranke geschoben werden müssen, um minderjährige Benutzer herauszufiltern.
In Bezug auf die Rechtsgrundlage, die mit der Verarbeitung von Personendaten durch OpenAI zum Trainieren seiner Algorithmen verbunden ist, die Garantie hat die verfügbaren Optionen auf zwei eingegrenzt: Einwilligung oder berechtigtes Interesse – mit der Maßgabe, dass alle Hinweise auf die Vertragserfüllung „im Einklang mit dem [GDPR’s] Rechenschaftspflicht“. (Datenschutzerklärung von OpenAI nennt derzeit alle drei Gründe, scheint sich aber am stärksten auf die Erfüllung eines Vertrags für die Bereitstellung von Diensten wie ChatGPT zu stützen.)
„Dies gilt unbeschadet der Ausübung der Untersuchungs- und Durchsetzungsbefugnisse der SA in dieser Hinsicht“, fügt sie hinzu und bestätigt, dass sie ein Urteil darüber zurückhält, ob die beiden verbleibenden Gründe auch rechtmäßig für die Zwecke von OpenAI verwendet werden können.
Darüber hinaus gewährt die DSGVO betroffenen Personen eine Reihe von Zugriffsrechten, einschließlich eines Rechts auf Berichtigung oder Löschung ihrer personenbezogenen Daten. Aus diesem Grund hat die italienische Regulierungsbehörde auch verlangt, dass OpenAI Tools implementiert, damit betroffene Personen – also sowohl Benutzer als auch Nichtbenutzer – ihre Rechte ausüben und Unwahrheiten, die der Chatbot über sie generiert, berichtigen können. Oder wenn sich herausstellt, dass die Korrektur von KI-generierten Lügen über namentlich genannte Personen „technisch nicht durchführbar“ ist, schreibt die DPA vor, dass das Unternehmen eine Möglichkeit zur Löschung ihrer personenbezogenen Daten bereitstellen muss.
„OpenAI muss leicht zugängliche Tools zur Verfügung stellen, die es Nicht-Benutzern ermöglichen, ihr Recht auszuüben, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, die für den Betrieb der Algorithmen erforderlich ist. Das gleiche Recht muss den Nutzern eingeräumt werden, wenn ein berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung ihrer Daten gewählt wird“, fügt sie hinzu und verweist auf ein weiteres Recht, das die DSGVO betroffenen Personen gewährt, wenn ein berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung herangezogen wird persönliche Daten.
Alle Maßnahmen der Garantie angekündigt hat, sind Eventualitäten, basierend auf seinen vorläufigen Bedenken. Und in seiner Pressemitteilung heißt es, dass seine formellen Untersuchungen – „um mögliche Verstöße gegen die Gesetzgebung festzustellen“ – fortgesetzt werden und dazu führen könnten, dass es beschließt, „zusätzliche oder andere Maßnahmen zu ergreifen, wenn sich dies nach Abschluss der laufenden Untersuchung als notwendig erweist“. .
Wir haben OpenAI um eine Antwort gebeten, aber das Unternehmen hat bei Redaktionsschluss nicht auf unsere E-Mail geantwortet.