Warum sich Datenschutzbehörden mit ChatGPT und Co. schwertun

Inhaltsverzeichnis

Den Siegeszug generativer Künstlicher Intelligenz (KI) haben die Macher der Datenschutz-Grundverordnung (DSGVO) 2016 nicht vorhersehen können. Deshalb spielt KI in dem Regelwerk kaum eine Rolle. Der Gesetzgeber ging vom klassischen Input-Output-Schema aus: Personenbezogene Daten werden erhoben, gespeichert, verarbeitet und ausgegeben. Lediglich Art. 22 DSGVO beschäftigt sich rudimentär mit KI. Er legt fest, dass automatisierte Verarbeitungen und Entscheidungen, die Menschen betreffen, immer auch von Menschen abgesegnet werden müssen.

Generative KI-Modelle, insbesondere Large Language Models (LLMs) wie GPT, stellen die europäischen Datenschutzbehörden deshalb vor Herausforderungen, die sie kaum in den Griff bekommen können. Als besonders problematisch erweisen sich Modelle, die nicht lokal arbeiten, sondern bei einem Anbieter liegen, der den Zugang über ein Webfrontend und/oder ein API gewährleistet. In aller Regel weiß niemand genau, welche personenbezogenen Daten zum Training dienen, wie das Modell sie genau verarbeitet und welcher Output entstehen könnte. Nicht einmal die Anbieter selbst können da immer Auskunft geben.

Mehr zum Thema Künstliche Intelligenz (KI)

• Warum sich Datenschutzbehörden mit ChatGPT und Co. schwertun
• Künstliche Intelligenz: Benchmarks für generative Sprachmodelle im Überblick
• Marktübersicht: KI-Server mit GPUs im Überblick
• Künstliche Intelligenz: teuer, US-amerikanisch, Big-Tech-dominiert
• PyTorch: Eigene Bildgenerierungs-KI mit Python bauen
• Website per KI hacken: Browser-Skripte mit ChatGPT und Co. generieren
• Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte
• Transkriptionsdienste: Whisper V3 im Vergleich mit Online-Diensten
• Projekt noFake trainiert Datenmodelle für Faktenchecks
• Lokale KI verschlagwortet Fotosammlung auf NAS
• Multi-Agenten-Systeme: Automatisierte Leistungsanpassung für bessere KI
• Fremdsprachen lernen: Wie man ChatGPT zum Sprechtrainer aufrüstet

Unter solchen Umständen fällt es Unternehmen und Behörden schwer, LLM-Chatbots DSGVO-konform einzusetzen. Was müssen sie beachten, um nicht in Konflikt mit ihren Mitarbeitern, Kunden und den zuständigen Datenschutzbehörden zu geraten? Es fehlen Leitplanken für die sogenannte Compliance, also konkrete Anforderungskataloge, die man abarbeiten kann.

Das war die Leseprobe unseres heise-Plus-Artikels "Warum sich Datenschutzbehörden mit ChatGPT und Co. schwertun". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.