Datenschutz-Verletzung durch OpenAI?

Eine österreichische Datenschutzbehörde bearbeitet zurzeit eine Beschwerde der europäischen Datenschutz-Organisation „noyb“ und einem betroffenen EU-Bürger gegen OpenAI – die Entwickler von ChatGPT. Grund für die Beschwerde: Die künstliche Intelligenz soll falsche Daten über Personen verbreiten, wodurch der Chatbot gegen Pflichten aus der Datenschutzgrundverordnung (DSGVO) verstoße.

KI-Chatbot generiert falsche Informationen

Fragte man den KI-Chatbot nach dem Geburtstag des Betroffenen – eine Person des öffentlichen Lebens –, habe er mehrmals ein falsches Geburtsdatum ausgespielt. Die Datenschutzorganisation ist der Auffassung, dass ChatGPT den Nutzern stattdessen hätte mitteilen müssen, dass die benötigten Informationen zur Beantwortung der Frage nicht vorhanden seien.

Dabei müssen gem. Art. 5 DSGVO personenbezogene Daten „sachlich richtig“ und „auf dem neuesten Stand sein“. Außerdem „sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)“.

Darüber hinaus steht Betroffenen nach Art. 16 DSGVO ein Recht auf unverzügliche Berichtigung falscher Informationen zu und aus Art. 15 DSGVO ein Auskunftsrecht bezüglich gespeicherter personenbezogener Daten und woher diese stammen.

ChatGPT liefert nicht garantiert faktisch korrekte Antworten

Die OpenAI-Entwickler reagierten auf die Vorwürfe, dass ChatGPT auch falsche Informationen generiere, mit der ausweichenden Antwort, dass man zurzeit nicht garantieren könne, dass Nutzer tatsächlich hundertprozentig korrekte Antworten vom KI-Chatbot erhalten. Das liege unter anderem daran, dass die KI zur Beantwortung von Nutzeranfragen lediglich die „nächstwahrscheinlichsten Wörter vorhersagt, die als Antwort auf die jeweilige Frage vorkommen könnten“.

Die Datenschutzorganisation bezog zur Erklärung der KI-Entwickler ganz klar Stellung: Ihr zufolge müsse eine Technologie wie ein KI-Chatbot den rechtlichen Anforderungen folgen – und nicht umgekehrt. Solange das System keine korrekten und transparenten Ergebnisse generieren könne, dürfe es nicht zum Zwecke der Erstellung von Personendaten genutzt werden.

OpenAI erwiderte darauf jedoch nur, dass „faktische Genauigkeit“ in den aktuellen großen Sprachmodellen zum jetzigen Zeitpunkt „ein Bereich aktiver Forschung“ bleibe.

OpenAI verweigert Auskunftsrecht aus Art. 15 DSGVO

Obwohl die betroffene Person des öffentlichen Lebens ihr Auskunftsrecht nach Art. 15 DSG-VO geltend machen wollte, hat OpenAI die verarbeiteten Daten, deren Herkunft oder etwaige Empfänger der Daten nicht offengelegt. Damit verstoßen die KI-Entwickler gegen eine Verpflichtung, die für sämtliche Unternehmen gelte.

OpenAI kann falsche Informationen nicht löschen?

Auch das Ersuchen des Betroffenen, die falschen Informationen bezüglich seines Alters zu korrigieren oder zu löschen, hat OpenAI abgelehnt. Zur Begründung hieß es, dass eine Korrektur der spezifischen Daten nicht möglich sei. Würde man dies versuchen, würde der Chatbot alle Informationen über die betroffene Person filtern – und auch dies stelle laut Datenschützern einen Verstoß gegen die DSG-VO dar.

Datenschutz-Organisation fordert Bußgeld gegen ChatGPT

Die Beschwerde wurde mit der Intention erhoben, dass die österreichische Datenschutzbehörde die OpenAI-Datenverarbeitungspraktiken genauer unter die Lupe nimmt. Fragwürdig erscheint aus Sicht der Datenschützer, welche Maßnahmen das KI-Unternehmen hinsichtlich der Sicherstellung der Richtigkeit personenbezogener Daten veranlasst hat. Des Weiteren soll OpenAI dem Auskunftsanspruch des Betroffenen genügen und die Verarbeitung der personenbezogenen Daten DSGVO-konform ausführen.

Die europäische Datenschutzorganisation fordert ein Bußgeld gegen OpenAI, das einen Anreiz zur Einhaltung der europäischen Datenschutzvorschriften schafft.