Datenschützerin über ChatGPT: "Viele Fragen von Leuten, die sich Sorgen machen"

Inhaltsverzeichnis

Viele Millionen Nutzer, enorme Mengen an Daten: ChatGPT ist eine Herausforderung an den Datenschutz und wird bislang gefühlt nur wenig kontrolliert. Zwar gibt es in Italien ein erstes Verbot, doch die meisten Behörden warten noch auf Antworten. Im Gespräch mit MIT Technology Review erläutert Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein, wie das Vorgehen koordiniert wird, wie sie selbst ChatGPT einschätzt und ob die EU-Datenschutzgrundverordnung ChatGPT in Europa stoppen könnte.

Frau Hansen, als oberste Datenschützerin in ihrem Bundesland Schleswig-Holstein sind Sie mit den Large Language Models, kurz LLMs, beschäftigt. Wissen wir überhaupt, was in diesen Modellen aktuell steckt, wo die ganzen Informationen herkommen?

Im Augenblick wird nicht offengelegt – und zwar bei nahezu keinem Modell –, was eingespeist wurde. Das bezieht sich auch darauf, wie die Modelle manuell von Menschen weiter trainiert und bearbeitet wurden und auch, was man ihnen quasi "austrainiert" hat. Da haben wir noch ganz viele Fragezeichen. Das bedeutet natürlich, dass wir das als Datenschützer auch erst einmal nachvollziehen müssen, bevor wir es beurteilen können – zum Beispiel in Bezug darauf, ob die Quellen der Trainingsdaten rechtmäßig waren. Gibt es überhaupt eine Rechtsgrundlage, diese Daten zu verwenden? Das ist eine zentrale Frage aus Datenschutzsicht und die muss auf jeden Fall zügig beantwortet werden.

Angebote für den europäischen Markt

Hätte Ihrer Ansicht nach so ein LLM wie ChatGPT in Europa überhaupt gestartet werden dürfen?

Die EU-Datenschutzanforderungen gelten für den europäischen Markt, das heißt also auch für ChatGPT, das in Europa angeboten wird – selbst wenn der Hersteller OpenAI hier keine Niederlassung hat. Sofern personenbezogene Daten verarbeitet werden, muss OpenAI wie auch alle anderen Verarbeiter die Datenschutz-Grundverordnung (DSGVO) einhalten. Also zum Beispiel sich um eine Rechtsgrundlage kümmern. Die Informationspflichten erfüllen. Es den betroffenen Personen ermöglichen, ihre Rechte auf Auskunft, auf Berichtigung und unter bestimmten Umständen auch auf Löschung ermöglichen. Die Sicherheit der Verarbeitung gewährleisten. Datenschutz by Design und by Default umsetzen. Wenn ein hohes Risiko zu erwarten ist, eine Datenschutz-Folgenabschätzung durchgeführt haben. Das sind alles Kriterien, von denen ich meinen würde: Wer in Europa ein Angebot auf den Markt bringt, der hat dies umgesetzt und damit die Antworten auf unsere Fragen schon in der Schublade liegen.

Wie prüfen Sie, ob das alles von OpenAI eingehalten wird?

OpenAI hat bislang keine Niederlassung in Europa. Jetzt stellt sich die Frage: Wer ist zuständig? Normalerweise gibt es genau eine federführende Behörde, die sich durch den Ort der Niederlassung bestimmt. In vielen Fällen, etwa bei Facebook oder Google, handelt es sich dabei um die Datenschutzaufsicht in Irland. Bei OpenAI ohne Niederlassung in der EU ist das nicht so. Stattdessen sind alle Datenschutzaufsichtsbehörden gleichermaßen zuständig. Im Fall von ChatGPT gab es so viele Nachfragen, dass wir als Landesbeauftragte für Datenschutz eine zeitnahe Prüfung für wichtig hielten. Und deswegen machen wir das nun deutschlandweit koordiniert durch verschiedene Landesdatenschutzbeauftragte und stimmen uns außerdem im europäischen Kontext ab.

In Italien hat die Datenschutzbehörde bereits agiert und ChatGPT sogar verboten. Wie haben die italienischen Kollegen das begründet? Und ist das eine Sache, die auch für Deutschland interessant sein könnte aus ihrer Perspektive?

Die italienischen Kollegen haben sich auf bestimmte Punkte wie die Rechtsgrundlagen, Informationspflichten, Betroffenenrechte und den Schutz von Kindern konzentriert und festgestellt, dass Antworten fehlen, die sie aus Datenschutzsicht erwartet hätten. Wir halten die Bewertung der italienischen Kollegen zum damaligen Stand für nachvollziehbar. Nun wollen wir weitere Fragen stellen und Auskünfte erhalten, auch weil sich ja laufend etwas ändert. Es ist jetzt bereits klar, dass die Situation mit GPT-4 heute schon eine andere ist als zum Zeitpunkt, als Italien eingegriffen hat.

"Dann müssen die Informationen auf dem Tisch liegen"

Welche Fristen haben Sie OpenAI gesetzt?

Die Frist im schleswig-holsteinischen Anschreiben ist der 7. Juni. Das wären genau sechs Wochen nach Versand der Anfrage. Das ist für eine Prüfung eines Angebots aus den USA meiner Ansicht nach fair, es gibt ja zum Glück E-Mail, da muss nicht alles per Post laufen. Und OpenAI hat auch schon gleich reagiert, dass die Anfrage angekommen ist. Ich gehe davon aus, dass die Frist auch eingehalten wird. Es sind umfangreiche Fragen in einem Umfang von sechs Seiten. Anfang Juni erwarten wir also die Antworten. Vielleicht haben wir noch Rückfragen, vielleicht dauert es noch ein bisschen, vielleicht wird es also noch in den Sommer reingehen. Aber dann müssen die Informationen auf dem Tisch liegen, die im Anschluss bewertet werden. Unsere Prüfung ist ergebnisoffen. Ähnliche Anfragen sind unter anderem von meinen Kollegen in Hessen, Rheinland-Pfalz, Baden-Württemberg und weiteren Ländern auf dem Weg oder in Vorbereitung.

Es scheint dabei aus Datenschutzsicht zwei Problemkomplexe zu geben. Beim Training der Modelle könnten personenbezogene Daten verwendet worden sein. Und bei der Benutzung der Systeme sammelt OpenAI zahlreiche Daten. Und niemand weiß, was damit passiert. Was ist das größere Problem?

Das kann ich derzeit noch gar nicht bewerten. Ein Training wäre theoretisch auch ohne Personenbezug möglich. Daneben werden aber personenbezogene Daten durch die Benutzung neu gesammelt. Wir erhalten viele Anfragen von betroffenen Personen, die sich Sorgen machen, weil sie ChatGPT für Formen der Beratung verwendet haben. In solchen Dialogen wird es bei vielen Menschen schnell persönlich. Es gibt Menschen, die sich dabei offenbaren und sehr viele, vielleicht sogar intime Details eintippen. Wie wird das ausgewertet? Was passiert damit? Das wollen wir als Datenschutzaufsichtsbehörde natürlich schon sehr genau wissen.