Wie passt die DSGVO in ChatGPT?

Hochmut kommt vor dem Fall (hallo Clubhouse!): Nach der anfänglichen Euphorie um ChatGPT muss sich die Entwicklerfirma OpenAI nun mit der DSGVO auseinandersetzen: Kaum auf dem Markt, kam zumindest in Italien am 31. März das vorläufige Aus des KI-Chatbots – die italienische Datenschutzbehörde hatte verfügt, dass ChatGPT nicht mehr die Daten italienischer Nutzer verarbeiten dürfe, und es damit als erstes Land weltweit de facto gesperrt. Da dies auf Basis der DSGVO geschah, horchte die ganze EU auf. Die Regulierung wird aber dadurch erschwert, dass der Betreiber keine Niederlassung in der EU hat. Deswegen darf und muss jedes Land die Einhaltung der DSGVO selbst überwachen.

Das Fass zum Überlaufen brachte für die italienischen Behörden wohl ein Vorfall vom 20. März, als einige Nutzer Zugriff auf den Titel von Chats und unter Umständen die erste Chatnachricht anderer aktiver Benutzer hatten. Außerdem gäbe es keine Rechtsgrundlage für das massenhafte Sammeln und Speichern von Daten, mit denen die KI zu Trainingszwecken gefüttert wird, da die Nutzer darüber nicht hinreichend informiert bzw. nicht um explizite Zustimmung gebeten werden. Die italienischen Behörden kritisierten außerdem, dass es keine ausreichenden Filter und Barrieren für Kinder unter 13 Jahren geben würde (wobei das kein Problem des Datenschutzes, sondern des Jugendschutzes ist).

Und die vielen Falschinformationen, die ChatGPT weiterhin generiert, würden zu einer falschen Verarbeitung der Daten führen. Denn die Künstliche Intelligenz formuliert nach dem Prinzip, welches Wort in einem Satz mit größter Wahrscheinlichkeit als nächstes folgt. Dabei kommt es nicht selten vor, dass die KI „Fakten halluziniert“, wie OpenAI es nennt, also falsche Informationen ungeniert als Fakten präsentiert. Beispiel: Auf die Frage „Wie heißt die deutsche Bundeskanzlerin?“ antwortet ChatGPT „Die derzeitige deutsche Bundeskanzlerin heißt Angela Merkel.“ Auf die Frage „Wie heißt der deutsche Bundeskanzler?“ antwortet es nur Sekunden später „Der derzeitige deutsche Bundeskanzler ist Olaf Scholz.“

Nachdem OpenAI zahlreiche Verbesserungen vorgenommen hat, wurde das Verbot Ende April wieder aufgehoben. Auch die französischen, kanadischen, irischen, spanischen und deutschen Datenschutzbehörden prüfen gerade den weiteren Umgang. Hierzulande scheint ChatGPT sehr beliebt zu sein: In einer Umfrage von Anfang April 2023 unter 1.200 Menschen gaben 19 Prozent bereits an, den Bot bereits ausprobiert zu haben – und fast jeder würde es wieder tun. Das deutsche Verkehrs-/ Digitalministerium und das Innenministerium lehnen derweil ein eventuelles Verbot ab und befürworten stattdessen mehr KI-Regulierung. Kürzlich legte dazu auch der deutsche Ethikrat eine ausführliche Stellungnahme vor, wie ein verantwortungsbewusster Umgang mit KI gelingen kann.

Der Bundesdatenschutzbeauftragte hat in Abstimmung mit den letztlich in Deutschland zuständigen Datenschutzbehörden der Bundesländer seine italienischen Kollegen um weiterführende Informationen gebeten. Das dortige voreilige Handeln würde rein rechtlich auf wackeligen Beinen stehen, so der Leiter der neu gegründeten KI-Taskforce der deutschen Datenschutzkonferenz, da nicht ausreichend Informationen über die Funktionsweise von ChatGPT vorlägen. Die will man nun einholen und hat dafür einen umfangreichen Fragebogen aufgesetzt, den die Landesbehörden an OpenAI versandt haben.

OpenAI hatte seine KI ja einfach weltweit verfügbar gemacht – vermutlich nach dem in den USA gelten Grundsatz, dass Dinge, die öffentlich zugänglich sind, grundsätzlich nicht mehr privat sind. In der EU hingegen hat man als „Datensubjekt“ das Recht, darüber informiert zu werden, wie Daten gesammelt und verwendet werden oder welche Dateien überhaupt über sich selbst gespeichert sind und kann verlangen, dass Daten korrigiert und sogar wieder aus System entfernt werden, selbst wenn diese von vorne herein öffentlich waren.

Außerdem interessiert die Aufsichtsbehörden, ob eine Datenschutz-Folgenabschätzung durchgeführt wurde und ob die Datenschutzrisiken kontrolliert werden. Dabei geht es dann auch um besonders schützenswerte Daten, etwa hinsichtlich Gesundheit, politischen und religiösen Einstellungen oder zur familiären oder sexuellen Lebenssituation, die der KI eventuell anvertraut oder aus an sie gerichteten Fragen ersichtlich werden.

Experten glauben, dass es für OpenAI nahezu unmöglich sein könnte, die Vorschriften der DSGVO einzuhalten. Für eine zufriedenstellende Antwort müsste wohl u.a. offengelegt werden, zu welchen Zwecken eingegebene Daten verarbeitet werden, woher das Wissen der KI stammt, wie ihre Algorithmen funktionieren, ob Daten an Dritte mit kommerziellen Interessen weitergegeben werden, wie man das berechtigte Interesse am Verarbeiten der Daten begründet oder alternativ um Zustimmung zum Scraping bittet usw. – es gibt eine ganze Menge an offenen Fragen. KI wird sich wohl in ihrer Entwicklung nicht aufhalten lassen. Daher ist es gut, sie nun von Anfang an datenschutzgerecht zu formen.

Einige Verbesserungen wurden auch schon angekündigt, z.B. soll man Chats „deaktivieren“ können. Die in diesen Chats eingegeben Daten sollen dann nicht zum Trainieren und Verbessern der KI verwendet werden, nicht in der Seitenleiste des Verlaufs erscheinen und die Konversationen nur einen Monat lang beim Hersteller aufbewahrt werden (um sie auf möglichen Missbrauch hin zu überprüfen). Außerdem soll es möglich werden, alle gespeicherten Daten mit einem Klick zu exportieren.

Die Behörden haben OpenAI eine (sportliche) Frist bis 11. Juni gesetzt, um ihren Fragebogen zu beantworten. Bis dahin könnte man den schon vorliegenden 31. Tätigkeitsbericht des Bundesdatenschutzbeauftragten (BfDI) durchlesen. Im Jahr 2022 wurden dem BfDI demnach 10.658 Datenschutzverstöße gemeldet (+5% im Vergleich zum Vorjahr). Im Bericht geht es nach dem ernüchternden Fazit hinsichtlich der Umsetzung der Handlungsempfehlungen aus dem letzten Bericht neben Gesundheitsthemen (E-Rezept, elektronische Patientenakte, medizinische Forschungsdaten) auch um den EU Data Act und den EU Digital Services Act, die Facebook-Fanpages der Bundesregierung, die grundrechtskonforme Überarbeitung des Entwurfs zur Chat-Kontrolle, die Abschaffung der Antiterror- und Rechtsextremismusdatei und ein neues Beschäftigtendatenschutzgesetz.

Die Bundesregierung will nämlich die Überwachung von Beschäftigten und die Verarbeitung ihrer persönlichen Daten stärker reglementieren. Die Ausnahmen, wann Arbeitgeber ihre Angestellten verdeckt überwachen dürfen, sollen so beschränkt werden, dass sie nur noch erlaubt sind, „wenn es keine andere Möglichkeit gibt, den konkreten Verdacht einer Straftat im Betrieb aufzuklären“. Auch die offene Videoüberwachung und die Ortung von Beschäftigten soll erschwert werden, es soll ein Recht auf Orte und Zeiten ohne Beobachtung durch den Arbeitgeber – außerhalb von Toiletten und Umkleiden – geben. Auch die Regeln, welche Fragen im Bewerbungsgespräch nicht gestellt werden dürfen und welche Tests im Auswahlverfahren erlaubt sind, sollen angepasst werden.

Mit dem Datenschutz von Arbeitnehmern befassen sich auch oft die Gerichte – zum Beispiel gab es schon Ende 2021 ein Urteil, dass ein Arbeitgeber einer ehemaligen Mitarbeiterin 1000 Euro Schadensersatz nach Art. 82 DSGVO zahlen muss, weil er schuldhaft nicht ordnungsgemäß ihre Daten gelöscht hatte. Es fehlte schon ganz grundsätzlich an einem Löschkonzept. Aber auch ohne dieses sollte es selbstverständlich sein, dass ein Arbeitnehmer beim Ausscheiden aus einer Firma von deren Webseite gelöscht wird. Im konkreten Fall tat dies der Arbeitgeber noch nicht einmal nach Aufforderung. Wenn Sie jetzt merken, dass Sie auch kein Löschkonzept haben, wenden Sie sich gern mit Ihren Fragen an mich.