Was steckt hinter dem Verbot in Italien?
Die italienische Datenschutzbehörde kritisiert insbesondere, dass:
- OpenAI keine Rechtsgrundlage für das massenhafte Sammeln und Speichern personenbezogener Daten habe,
- seine Nutzer nicht ausreichend über die Verwendung ihrer Daten informiere
- und dass es keine adäquaten Filter oder Sperren für Kinder unter 13 Jahren gebe.
Auslöser für das Tätigwerden der Behörde könnte ein bekanntgewordenes Datenleck gewesen sein. Demnach sollen Nutzer am 20. März 2023 Zugriff auf Anfragen anderer Personen, die plötzlich im eigenen Verlauf auftauchten und Zahlungsinformationen in Form von Vor- und Nachnamen, E-Mail-Adresse und Zahlungsadressen sog. ChatGPT Plus-Abonnenten gehabt haben.
Was fordert die italienische Datenschutzbehörde von OpenAI?
Auf ihrer Webseite hat die italienische Datenschutzbehörde Maßnahmen veröffentlich, welche von dem US-Unternehmen bis zum 30. April 2023 umgesetzt werden müssen, damit die Sperre aufgehoben wird. Ansonsten droht OpenAI eine Geldbuße von bis zu 20 Mio. Euro oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Hierbei handelt es sich um folgende Maßnahmen:
Informationen
- OpenAI muss auf seiner Website transparente Informationen über die Methoden und die Logik der Verarbeitung von Daten veranschaulichen, die für den Betrieb von ChatGPT erforderlich sind, sowie über die Rechte von Nutzenden zur Verfügung stellen.
- Die Informationen müssen leicht zugänglich und so platziert sein, dass sie gelesen werden können, bevor mit der Registrierung für den Dienst fortgefahren wird.
- Außerdem müssen Benutzende vor der Registrierung aufgefordert werden, zu erklären, dass sie volljährig sind.
- Auch bereits registrierte Benutzende müssen die Informationen zum Zeitpunkt des ersten Zugriffs nach der Reaktivierung des Dienstes vorgelegt werden und ihre Volljährigkeit bestätigen.
Rechtsgrundlage
- OpenAI soll jede Formulierung, die Verarbeitung erfolge aufgrund der Ausführung eines Vertrags, streichen und die Verarbeitung stattdessen auf Grundlage des Grundsatzes der Rechenschaftspflicht, auf eine Einwilligung oder das berechtigte Interesse beziehen.
Ausübung von Rechten
- Betroffene müssen die Möglichkeit haben, für sie betreffende personenbezogenen Daten, die ungenau generiert wurden, die Berichtigung oder Löschung derselben zu verlangen, wenn die Berichtigung technisch nicht möglich ist.
- Darüber hinaus muss OpenAI betroffenen Personen ermöglichen, auf einfache und zugängliche Weise das Recht auszuüben, der Verarbeitung ihrer personenbezogenen Daten, die für die Ausübung von Algorithmen verwendet werden, zu widersprechen.
Schutz von Minderjährigen
- Neben der sofortigen Einführung eines Altersanforderungssystems zum Zwecke der Registrierung muss OpenAI bis zum 31. Mai 2023 einen Plan vorlegen, der die Implementierung eines Altersüberprüfungssystems bis spätestens zum 30. September 2023 vorsieht, um den Zugang von Nutzenden unter 13 Jahren und Minderjährigen, welchen die Zustimmung der Eltern fehlt, ausschließt.
Informationskampagne
- Schließlich muss OpenAI im Einvernehmen mit der italienischen Datenschutzbehörde bis zum 15. Mai 2023 eine Informationskampagne in Radio, Fernsehen, Zeitungen und im Internet durchführen, um die Menschen in Italien über die Verwendung ihrer personenbezogenen Daten zum Zwecke des Algorithmus-Trainings zu informieren.
Ist ein solches Verbot auch in Deutschland denkbar?
Nach Aussage einer Sprecherin des Bundesbeauftragten für den Datenschutz, sei ein entsprechendes Vorgehen auch in Deutschland möglich. Demgegenüber sprach sich der Bundesminister für Digitales Volker Wissing gegen ein Verbot von KI-Anwendungen aus. Stattdessen ist er dafür, schnell einen gesetzlichen Rahmen zu schaffen, der sicherstelle, dass diese neue Technologie nur dann eingesetzt werden dürfe, wenn sie sich an europäische Werte wie Demokratie, Transparenz und Neutralität hält.
Gleichwohl obliegt es in Deutschland den Landesdatenschutzbehörden, sich mit der Thematik zu beschäftigen. Aus einer Pressemitteilung vom 13.04.2023 geht hervor, dass der Hessische Beauftragte für Datenschutz und Informationsfreiheit die Bedenken der italienischen Aufsichtsbehörde teile und auch befürchte, dass OpenAI mit ChatGPT u.a. personenbezogene Daten von Kindern verarbeite, gegen die Datenschutzgrundsätze der Zweckbindung und der Datenminimierung verstoße, die Daten ohne Rechtsgrundlage verarbeite und die Rechte betroffener Personen nicht ausreichend sicherstelle.
Angesichts der großen Bedeutung solcher Anwendungen soll ChatGPT Gegenstand einer in der Datenschutzkonferenz koordinierten datenschutzrechtlichen Prüfung sein.
Was bedeutet das Verbot für die EU?
Zunächst einmal hat die Europäische Verbraucherorganisation (BEUC) alle Behörden aufgefordert, ChatGPT zu untersuchen. Gleichzeitig debattiert die Europäische Kommission über die weltweit erste Gesetzgebung zur künstlichen Intelligenz. Laut der Vizepräsidentin der Europäischen Kommission und Kommissarin für Digitales, Margrethe Vestager, sei die EU jedoch nicht bereit dazu, künstliche Intelligenzsysteme zu verbieten. Dies ergibt sich aus einem Online-Beitrag von euronews.
Allgemeine Handlungsempfehlung zum Umgang mit KI
Mit der Verwendung von KI im Unternehmen gehen immer auch Risiken einher, sodass die folgenden Schritte beachtet und bei Bedarf umgesetzt werden sollten, um die Risiken im ersten Moment zu identifizieren und gegebenenfalls zu minimieren:
Werden personenbezogene Daten von der KI verarbeitet, sind folgende Schritte zwingend einzuhalten:
- Überprüfung, ob die Durchführung einer Datenschutzfolgenabschätzung (DSFA) notwendig ist. Hilfreich bei der Entscheidung sind Muss-Listen der Aufsichtsbehörden. Unter anderem ist die DSFA zwingend bei der Nutzung neuer und innovativer Technologien durchzuführen. Dazu werden tendenziell auch KI zuzurechnen sein.
- Oft wird es sich um Auftragsverarbeitung handeln, sodass ein Auftragsverarbeitungsvertrag, welcher den Anforderungen des Art. 28 DS-GVO entspricht, abgeschlossen werden muss.
- Auch beim Einsatz von KI müssen Datenströme und eventuelle Transfers aus dem EU/EWR-Raum beachtet werden. Es könnte notwendig sein die Standardvertragsklauseln abzuschließen und ein Transfer Impact Assessment durchzuführen. Damit sollen Risiken, welche mit einem Transfer personenbezogener Daten aus dem EU/EWR-Raum einhergehen beurteilt und reduziert werden.
Einsatzgebiet der KI festlegen:
- Welche Daten sollen von der KI erfasst werden,
- Welche Mitarbeitenden dürfen die KI nutzen,
- Es empfiehlt sich eine Richtlinie zum Umgang mit KI-Anwendungen zu erlassen.
- Der Einsatz einer KI zur ausschließlichen und automatisierten Entscheidungsfindung gem. Art. 22 Abs. 1 DS-GVO verboten. Greifen eines Ausnahmefalles entsprechend Abs. 2 der Norm muss sorgfältig geprüft werden.
Allgemeine Compliance-Risiken:
- Diese müssen berücksichtigt werden. Dazu zählen beispielsweise einzuhaltende Verschwiegenheitsvereinbarungen oder sonstige Verschwiegenheitspflichten. Mit der Nutzung der KI werden Daten in einem unter Umständen unbekannten Ausmaß und einem unbekannten Empfängerkreis verarbeitet (KI-Blackbox). Um die Blackbox möglichst klein zu halten, sollten sich Unternehmen regelmäßige Test und Probeläufe überlegen, um Entscheidungsfindung der KI zu beurteilen. Wird dies nicht getan, muss befürchtet werden, dass die KI zu Ergebnissen kommt, welche für das Unternehmen nachteilig sind.
Fazit
Ein generelles Verbot des KI-basierten Chatbots in Deutschland oder gar auf europäischer Ebene ist nach aktuellem Stand wohl eher unwahrscheinlich. Gleichwohl scheint eine Regulierung der Technologie unabdingbar. Wir werden die Entwicklungen zu dem Thema weiter beobachten und berichten.
Update: ChatGPT wieder in Italien verfügbar
Das KI-Chatbot-System ChatGPT von OpenAI ist auch in Italien wieder verfügbar. OpenAI hat eine Reihe von Bedingungen erfüllt, die von der Datenschutzbehörde gefordert wurden, um den Dienst wieder freizugeben. Eine der Änderungen betrifft die Altersüberprüfung für einheimische neue Nutzer. Zusätzlich wurde ein neues Formular eingeführt, welches es den Nutzenden in der EU ermöglicht, Widerspruch gegen die Verwendung ihrer Daten zu erheben.
Diese neuen Datenschutzmaßnahmen sollen dazu beitragen, die Privatsphäre der ChatGPT Nutzenden zu gewährleisten und den Anforderungen der Datenschutzbehörde gerecht zu werden. Auch wenn diese Schutzmaßnahmen positiv sind, verdeutlicht es die wachsenden Datenschutzbedenken im Zusammenhang mit KI-Anwendungen. Insgesamt zeigt dieser Vorfall, dass die Regulierung von KI und der Datenschutz in diesem Bereich immer wichtiger werden. Unternehmen müssen sich der Datenschutzanforderungen bewusst sein und entsprechende Maßnahmen ergreifen, um das Vertrauen der Nutzenden und die Einhaltung der Vorschriften sicherzustellen.
Quellen