OpenAI versucht, das regulatorische Risiko in der EU rund um den Datenschutz zu verringern

Während der Großteil Europas Ende letzten Monats noch tief in der Auswahlkiste für Weihnachtsschokolade steckte, war der ChatGPT-Hersteller OpenAI damit beschäftigt, eine E-Mail mit Einzelheiten zu einer bevorstehenden Aktualisierung seiner Bedingungen zu verschicken, die offenbar darauf abzielt, sein regulatorisches Risiko in der Europäischen Union zu verringern.

Die Technologie des KI-Riesen wurde in der Region schon früh wegen der Auswirkungen von ChatGPT auf die Privatsphäre der Menschen untersucht – mit einer Reihe offener Untersuchungen zu Datenschutzbedenken im Zusammenhang damit, wie der Chatbot die Informationen von Menschen verarbeitet und welche Daten er über Einzelpersonen generieren kann, auch von Wachhunden in Italien und Polen. (Das Eingreifen Italiens führte sogar zu einer vorübergehenden Aussetzung von ChatGPT im Land, bis OpenAI die Informationen und Kontrollen überarbeitete, die es den Benutzern zur Verfügung stellt.)

„Wir haben das geändert OpenAI Unternehmen, das Dienstleistungen wie ChatGPT für EWR- und Schweizer Einwohner für unser irisches Unternehmen bereitstellt, OpenAI Ireland Limited“, schrieb OpenAI in einer E-Mail an Benutzer vom 28. Dezember.

Ein paralleles Update zu OpenAIs Datenschutzrichtlinie für Europa legt weiter fest:

Wenn Sie im Europäischen Wirtschaftsraum (EWR) oder in der Schweiz leben, ist OpenAI Ireland Limited mit Sitz in 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland der Verantwortliche und ist für die Verarbeitung Ihrer personenbezogenen Daten gemäß der Beschreibung in dieser Datenschutzrichtlinie verantwortlich.

Der neue Nutzungsbedingungen Die Eintragung ihrer kürzlich gegründeten Tochtergesellschaft mit Sitz in Dublin als Datenverantwortliche für Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz, wo die Datenschutz-Grundverordnung (DSGVO) des Blocks in Kraft ist, wird ab dem 15. Februar 2024 in Kraft treten.

Benutzern wird mitgeteilt, dass sie ihr Konto löschen können, wenn sie mit den neuen Bedingungen von OpenAI nicht einverstanden sind.

Der One-Stop-Shop-Mechanismus (OSS) der DSGVO ermöglicht es Unternehmen, die Daten von Europäern verarbeiten, die Datenschutzaufsicht unter einer einzigen federführenden Datenaufsichtsbehörde mit Sitz in einem EU-Mitgliedstaat zu optimieren – dort, wo sie „hauptsächlich niedergelassen“ sind, wie es im Regulierungsjargon heißt .

Durch die Erlangung dieses Status wird die Fähigkeit von Datenschutzbeauftragten in anderen Teilen der Union, einseitig auf Bedenken zu reagieren, effektiv eingeschränkt. Stattdessen würden sie Beschwerden in der Regel zur Prüfung an den Hauptvorgesetzten des etablierten Hauptunternehmens zurückverweisen.

Andere DSGVO-Regulierungsbehörden behalten weiterhin die Befugnis, vor Ort einzugreifen, wenn sie dringende Risiken erkennen. Aber solche Eingriffe sind typischerweise vorübergehender Natur. Sie sind auch von Natur aus außergewöhnlich, da der Großteil der DSGVO-Aufsicht über eine federführende Behörde erfolgt. Aus diesem Grund hat sich dieser Status für Big Tech als so attraktiv erwiesen, da er den leistungsstärksten Plattformen ermöglicht, die Datenschutzüberwachung ihrer grenzüberschreitenden Verarbeitung personenbezogener Daten zu optimieren.

Auf die Frage, ob OpenAI mit Irlands Datenschutzbehörde zusammenarbeitet, um den Status einer Hauptniederlassung für sein in Dublin ansässiges Unternehmen im Rahmen des OSS der DSGVO zu erhalten, sagte eine Sprecherin der irischen Datenschutzkommission (DPC) gegenüber Tech: „Ich kann bestätigen, dass Open AI engagiert wurde.“ mit dem DPC und anderen EU-Datenschutzbehörden [data protection authorities] zu diesem Thema.“

OpenAI wurde ebenfalls um einen Kommentar gebeten.

Der KI-Riese eröffnete bereits im September ein Büro in Dublin und stellte zunächst eine Handvoll Mitarbeiter aus den Bereichen Politik, Recht und Datenschutz sowie einige Back-Office-Positionen ein.

Zum Zeitpunkt des Verfassens dieses Artikels sind von den insgesamt 100 gelisteten Stellen nur fünf in Dublin offen KarriereseiteDaher scheint es immer noch begrenzt zu sein, lokale Stellen einzustellen. Eine in Brüssel ansässige Führungskraft für Politik und Partnerschaften der EU-Mitgliedstaaten, die derzeit ebenfalls rekrutiert, bittet Bewerber um Angabe, ob sie für eine Arbeit im Dubliner Büro an drei Tagen in der Woche zur Verfügung stehen. Aber die überwiegende Mehrheit der offenen Stellen des KI-Riesen ist in San Francisco/USA ansässig.

Eine der fünf von OpenAI ausgeschriebenen Stellen in Dublin betrifft einen Datenschutz-Softwareentwickler. Die anderen vier sind für: Account Director, Plattform; Spezialist für internationale Lohn- und Gehaltsabrechnung; Medienarbeit, Europaleitung; und Vertriebsingenieur.

Wer und wie viele Mitarbeiter OpenAI in Dublin einstellt, wird für die Erlangung des Hauptniederlassungsstatus gemäß der DSGVO von Bedeutung sein, da es nicht nur darum geht, ein paar rechtliche Unterlagen einzureichen und ein Kästchen anzukreuzen, um den Status zu erhalten. Das Unternehmen muss die Datenschutzbehörden des Blocks davon überzeugen, dass die in einem Mitgliedstaat ansässige Einrichtung, die es als rechtlich verantwortlich für die Daten der Europäer bezeichnet, tatsächlich in der Lage ist, die diesbezügliche Entscheidungsfindung zu beeinflussen.

Das bedeutet, dass man über das richtige Fachwissen und die richtigen rechtlichen Strukturen verfügen muss, um Einfluss auszuüben und sinnvolle Datenschutzkontrollen bei einem US-amerikanischen Mutterunternehmen durchzuführen.

Anders ausgedrückt: Die Eröffnung eines Front Office in Dublin, das Produktentscheidungen, die in San Francisco getroffen werden, lediglich abzeichnet, sollte nicht ausreichen.

Allerdings blickt OpenAI möglicherweise mit Interesse auf das Beispiel von übernahm – obwohl der unberechenbare Milliardär die regionale Mitarbeiterzahl von (Also, na ja, denken Sie mal.)

Wenn OpenAI in Irland den Hauptstatus der DSGVO erhält und die führende Aufsicht durch das irische DPC erhält, würde es sich Unternehmen wie Apple, Google, Meta, TikTok und X anschließen, um nur einige der multinationalen Unternehmen zu nennen, die sich dafür entschieden haben, in der EU zu Hause zu sein Dublin.

Der DPC stößt unterdessen weiterhin auf erhebliche Kritik wegen des Tempos und der Häufigkeit seiner DSGVO-Überwachung lokaler Technologiegiganten. Und obwohl es in den letzten Jahren eine Reihe von schlagzeilenträchtigen Strafen gegen Big Tech gab, die endlich aus Irland vertrieben wurden, weisen Kritiker darauf hin, dass die Regulierungsbehörde häufig wesentlich niedrigere Strafen befürwortet als ihre Konkurrenten. Weitere Kritikpunkte betreffen das eisige Tempo und/oder den ungewöhnlichen Verlauf der Untersuchungen des DPC. Oder Fälle, in denen es beschließt, eine Beschwerde überhaupt nicht zu untersuchen oder sie so umzuformulieren, dass das Hauptanliegen umgangen wird (zu Letzterem siehe beispielsweise diese Adtech-Beschwerde von Google).

Alle bestehenden DSGVO-Untersuchungen von ChatGPT, beispielsweise durch Regulierungsbehörden in Italien und Polen, könnten dennoch Konsequenzen für die Gestaltung der regionalen Regulierung des generativen KI-Chatbots von OpenAI haben, da die Untersuchungen wahrscheinlich ihren Lauf nehmen werden, da sie die Datenverarbeitung betreffen, die vor einer künftigen Hauptuntersuchung liegt Welchen etablierten Status der KI-Riese erlangen könnte. Es ist jedoch weniger klar, welche Auswirkungen sie haben könnten.

Zur Erinnerung: Die italienische Datenschutzbehörde hat sich mit einer langen Liste von Bedenken hinsichtlich ChatGPT befasst, einschließlich der Rechtsgrundlage, auf die sich OpenAI für die Verarbeitung von Personendaten zum Training seiner KIs stützt. Während die polnische Aufsichtsbehörde eine Untersuchung nach einer detaillierten Beschwerde über ChatGPT einleitete – einschließlich der Frage, wie der KI-Bot personenbezogene Daten halluziniert (dh fabriziert).

Insbesondere enthält die aktualisierte europäische Datenschutzrichtlinie von OpenAI auch weitere Details zu den Rechtsgrundlagen, die das Unternehmen für die Verarbeitung personenbezogener Daten angibt – mit einigen neuen Formulierungen, die seinen Anspruch, sich bei der Verarbeitung personenbezogener Daten für das Training von KI-Modellen auf eine Rechtsgrundlage berechtigter Interessen zu stützen, wie folgt formulieren: „notwendig für unsere berechtigten Interessen und die von Dritten und der Gesellschaft im Allgemeinen” [emphasis ours].

Während die aktuelle OpenAI-Datenschutzrichtlinie die viel trockenere Aussage zu diesem Element ihrer behaupteten Rechtsgrundlage enthält: „Unser berechtigtes Interesse besteht darin, unsere Dienste vor Missbrauch, Betrug oder Sicherheitsrisiken zu schützen oder unsere Dienste zu entwickeln, zu verbessern oder zu fördern, einschließlich wann.“ Wir trainieren unsere Modelle.“

Dies deutet darauf hin, dass OpenAI möglicherweise beabsichtigt, seine umfangreiche, einwilligungslose Erfassung personenbezogener Daten von Internetnutzern für generative KI-Profite gegenüber besorgten europäischen Datenschutzbehörden zu verteidigen, indem es zusätzlich zu seinen eigenen (kommerziellen) Argumenten ein öffentliches Interesse für die Aktivität vorbringt. Interessen. Die DSGVO verfügt jedoch über eine streng begrenzte Anzahl von (sechs) gültigen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten; Datenverantwortliche können nicht einfach einzelne Teile aus dieser Liste auswählen, um ihre eigene maßgeschneiderte Rechtfertigung zu erfinden.

Es ist auch erwähnenswert, dass DSGVO-Wächter bereits im Rahmen einer im vergangenen Jahr im Europäischen Datenschutzausschuss eingerichteten Taskforce versucht haben, eine gemeinsame Basis für die Bewältigung der schwierigen Schnittstelle zwischen Datenschutzrecht und Big-Data-gestützten KIs zu finden. Es bleibt jedoch abzuwarten, ob aus dem Prozess ein Konsens hervorgehen wird. Und angesichts des Vorhabens von OpenAI, in Dublin eine juristische Person als Verantwortlicher für die Daten europäischer Nutzer zu gründen, könnte Irland auf lange Sicht durchaus das entscheidende Wort in der Richtung haben, wenn es um generative KI und Datenschutzrechte geht.

Wenn Der DPC wird leitender Leiter von OpenAI und hätte beispielsweise die Möglichkeit, das Tempo der Durchsetzung der DSGVO in Bezug auf die sich schnell entwickelnde Technologie zu verlangsamen.

Bereits, letzten April Im Zuge der italienischen Intervention bei ChatGPT warnte die derzeitige Kommissarin des DPC, Helen Dixon, davor, dass Datenschutzbeauftragte die Technologie wegen Datenbedenken verbieten würden – und sagte, die Regulierungsbehörden sollten sich Zeit nehmen, um herauszufinden, wie sie das Datenschutzgesetz des Blocks bei KIs durchsetzen können.

Hinweis: Benutzer aus dem Vereinigten Königreich sind von der Umstellung der Rechtsgrundlage von OpenAI nach Irland ausgeschlossen, wobei das Unternehmen angibt, dass sie in den Zuständigkeitsbereich seiner in Delware ansässigen Unternehmenseinheit in den USA fallen. (Seit dem Brexit gilt die EU-DSGVO im Vereinigten Königreich nicht mehr – obwohl das Land seine eigene britische DSGVO im nationalen Recht behält, eine Datenschutzverordnung, die historisch immer noch auf dem europäischen Rahmen basiert, wird sich dies ändern, wenn das Vereinigte Königreich von der Union abweicht (Der Goldstandard beim Datenschutz durch den rechtsverwässernden „Datenreform“-Gesetzentwurf, der derzeit im Parlament verabschiedet wird.)

tch-1-tech