Der Europäische Datenschutzausschuss hat vor einem Jahr die ChatGPT-Taskforce eingesetzt, um festzustellen, ob der Umgang von OpenAI mit personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung steht. Ein Bericht mit vorläufigen Ergebnissen wurde nun veröffentlicht.
Die EU ist äußerst streng, wenn es um die Verwendung der personenbezogenen Daten ihrer Bürger geht. In den GDPR-Vorschriften ist ausdrücklich festgelegt, was Unternehmen mit diesen Daten tun dürfen und was nicht.
Halten sich KI-Unternehmen wie OpenAI an diese Gesetze, wenn sie Daten für das Training und den Betrieb ihrer Modelle verwenden? Ein Jahr nachdem die ChatGPT-Taskforce ihre Arbeit aufgenommen hat, lautet die kurze Antwort: vielleicht, vielleicht nicht.
Der Bericht sagt, dass es sich um vorläufige Ergebnisse handelt und dass "es noch nicht möglich ist, eine vollständige Beschreibung der Ergebnisse zu geben".
Die drei Hauptbereiche, die die Taskforce untersuchte, waren Rechtmäßigkeit, Fairness und Genauigkeit.
Rechtmäßigkeit
Um seine Modelle zu erstellen, sammelte OpenAI öffentliche Daten, filterte sie, verwendete sie zum Trainieren seiner Modelle und trainiert seine Modelle weiterhin mit Benutzeraufforderungen. Ist dies in Europa legal?
Das Web-Scraping von OpenAI sammelt unweigerlich personenbezogene Daten ein. Die DSGVO besagt, dass Sie diese Daten nur dann verwenden dürfen, wenn ein berechtigtes Interesse vorliegt, und dass Sie die angemessenen Erwartungen berücksichtigen müssen, die Menschen hinsichtlich der Verwendung ihrer Daten haben.
OpenAI sagt, dass seine Modelle mit Artikel 6 Absatz 1 Buchstabe f der DSGVO übereinstimmen, der unter anderem besagt, dass die Verwendung personenbezogener Daten legal ist, wenn "die Verarbeitung für die Zwecke der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist".
In dem Bericht heißt es: "Es sollten Maßnahmen ergriffen werden, um personenbezogene Daten, die durch Web-Scraping gesammelt wurden, vor der Schulungsphase zu löschen oder zu anonymisieren."
OpenAI sagt, dass es über Schutzmaßnahmen für personenbezogene Daten verfügt, aber die Taskforce sagt, dass "die Beweislast für den Nachweis der Wirksamkeit dieser Maßnahmen bei OpenAI liegt."
Fairness
Wenn EU-Bürger mit Unternehmen in Kontakt treten, erwarten sie, dass ihre personenbezogenen Daten ordnungsgemäß behandelt werden.
Ist es fair, dass ChatGPT eine Klausel in den Allgemeinen Geschäftsbedingungen hat, die besagt, dass die Nutzer für ihre Chat-Eingaben verantwortlich sind? Die DSGVO besagt, dass ein Unternehmen die Verantwortung für die Einhaltung der DSGVO nicht auf den Nutzer übertragen kann.
In dem Bericht heißt es: "Wenn ChatGPT der Öffentlichkeit zugänglich gemacht wird, sollte davon ausgegangen werden, dass Einzelpersonen früher oder später personenbezogene Daten eingeben werden. Wenn diese Eingaben dann Teil des Datenmodells werden und zum Beispiel mit jedem geteilt werden, der eine bestimmte Frage stellt, bleibt OpenAI für die Einhaltung der DSGVO verantwortlich und sollte nicht argumentieren, dass die Eingabe bestimmter personenbezogener Daten von vornherein verboten war."
Der Bericht kommt zu dem Schluss, dass OpenAI transparent sein und die Nutzer ausdrücklich darauf hinweisen muss, dass ihre Eingaben zu Trainingszwecken verwendet werden können.
Genauigkeit
AI-Modelle halluzinieren und ChatGPT ist da keine Ausnahme. Wenn es die Antwort nicht weiß, erfindet es manchmal einfach etwas. Wenn es falsche Fakten über Einzelpersonen liefert, verstößt ChatGPT gegen die Anforderungen der Datenschutz-Grundverordnung an die Richtigkeit personenbezogener Daten.
Der Bericht stellt fest, dass "die von ChatGPT gelieferten Ergebnisse von den Endnutzern wahrscheinlich als faktisch korrekt angesehen werden, einschließlich der Informationen über Einzelpersonen, unabhängig von ihrer tatsächlichen Genauigkeit".
Auch wenn ChatGPT die Nutzer darauf hinweist, dass es manchmal Fehler macht, ist dies nach Ansicht der Taskforce "nicht ausreichend, um den Grundsatz der Datenrichtigkeit zu erfüllen".
OpenAI sieht sich mit einer Klage konfrontiert, weil ChatGPT ständig das Geburtsdatum einer bekannten Persönlichkeit des öffentlichen Lebens falsch angibt.
Das Unternehmen erklärte zu seiner Verteidigung, dass das Problem kann nicht behoben werden und die Menschen sollten stattdessen verlangen, dass alle Hinweise auf sie aus dem Modell gelöscht werden.
Im September letzten Jahres gründete OpenAI eine irische Rechtsperson in Dublin, die nun der irischen Datenschutzkommission (DPC) untersteht. Dies schützt das Unternehmen vor Anfechtungen der GDPR durch einzelne EU-Staaten.
Wird die ChatGPT-Taskforce in ihrem nächsten Bericht rechtsverbindliche Feststellungen treffen? Könnte OpenAI dem nachkommen, selbst wenn sie es wollte?
In ihrer jetzigen Form werden ChatGPT und andere Modelle möglicherweise nie in der Lage sein, die Datenschutzbestimmungen, die vor dem Aufkommen der KI verfasst wurden, vollständig zu erfüllen.
