DSGVO: So grillen DatenschĂĽtzer OpenAI
OpenAI muss einen umfangreichen Fragenkatalog deutscher Landesdatenschutzbehörden beantworten. Dazu wurde nun das Anhörungsschreiben veröffentlicht.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat nach einer Anfrage von heise online das deutschsprachige Anhörungsschreiben des ULD an das US-amerikanische Unternehmen OpenAI freigegeben und online veröffentlicht. Aus diesem Schreiben geht der Fragenkatalog hervor, lediglich die Namen der jeweiligen Ansprechpartner wurden unkenntlich gemacht.
Die deutschen Landesdatenschutzbehörden hatten Mitte April ein Verwaltungsverfahren gegen die Entwicklerfirma OpenAI eingeleitet, die den KI-Chatbot ChatGPT im November 2022 der Öffentlichkeit zugänglich machte. Sie wollen prüfen, ob die Algorithmen der KI-Software den Vorgaben der europäischen Datenschutzregeln der Datenschutzgrundverordnung (DSGVO) genügt.
Ăśber 40 rechtsrelevante Fragen
Die Fragen im Rahmen der Anhörung beziehen sich auf ChatGPT und der zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT auch personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Zur Überprüfung dieser Annahme soll Open AI rund 40 Fragen beantworten. "Der Fragebogen umfasst die wesentlichen Datenschutzfragen", erklärt die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen gegenüber heise online. Es gehe um die Grundsätze der Datenverarbeitung, die Rechtmäßigkeit, die Rechte der betroffenen Personen, die Gestaltung im Bereich Datenschutz und Sicherheit.
Die Datenschützer wollen etwa wissen, wie Open AI die Richtigkeit der verwendeten Daten sicherstellen will, insbesondere dann, wenn Betroffene Berichtigungen oder Löschungen einfordern. Auch fragen sie danach, aus welchen Quellen die verarbeiteten Daten stammen, mit denen die Sprachmodelle trainiert werden. Dazu soll Open AI die entsprechenden Rechtsgrundlagen erörtern. Unklar ist, ob das Unternehmen erhobene personenbezogene Daten pseudonymisiert, anonymisiert oder anderweitig aufbereitet, bevor diese für das KI-Training verwendet werden.
OpenAI soll überdies klären, ob eine Profilbildung von Nutzenden über Tracking stattfindet. Falls dies so ist, soll das Unternehmen den Zweck erläutern: Dient die Profilbildung für Werbezwecke oder dem Training für Methoden des maschinellen Lernens? Können Nutzungsdaten auch wieder gelöscht werden? In der Datenschutzerklärung erwähnt das Unternehmen, dass es Nutzungsdaten erhebt, auch ist von "verschiedenen Online-Analytics-Produkten" die Rede. Hier soll erläutert werden, was es genau darunter versteht.
Schließlich soll das Unternehmen eine Datenschutzfolgenabschätzung vorlegen. Falls diese nicht durchgeführt wurde, soll es dies begründen. Offen sind auch Fragen nach dem besonderen Schutz für Kinder und Jugendliche, nach dem Datentransfer und schließlich nach der etwaigen Nutzung durch andere Dienste oder Unternehmen.
Fristverlängerung beantragt
OpenAI zeigt sich kooperativ und sagte gegenüber dem ULD zu, die Fragen beantworten zu wollen. Die sechswöchige Antwortfrist endet am 7. Juni 2023, wobei Open AI bereits erfolgreich eine Fristverlängerung beantragt hat. Das ULD kündigte gegenüber heise online an, auf der Webseite zu ChatGPT den jeweils aktuellen Sachstand zu dokumentieren. Möglicherweise werden die Antworten von OpenAI L.L.C. nicht unmittelbar veröffentlicht werden, "weil darin möglicherweise sensible Informationen wie Betriebsgeheimnisse enthalten sind", sagt Hansen. Sie betont, dass es sich um ein laufendes Verfahren handele, das nicht öffentlich sei.
Da OpenAI in der Europäischen Union keine Niederlassung unterhält, sind alle europäischen Datenschutzaufsichtsbehörden im Hoheitsgebiet ihres jeweiligen Mitgliedstaats zuständig. Google und Microsoft hingegen betreiben eine zentrale Niederlassung in Irland, weshalb für sie die irische Datenschutzaufsicht zuständig ist. Diese zeigte sich in den vergangenen Jahren hinsichtlich der Durchsetzung der DSGVO mehrfach sehr zögerlich.
Notwendiger Schulterschluss ĂĽber den Datenschutz hinaus
In Italien die Datenschutzbehörde Ende April ein dort verhängtes Verbot wieder aufgehoben, das seit Ende März gegen ChatGPT gegolten hatte. OpenAI hatte der Behörde erklärt, mit welchen Maßnahmen es einen besseren Datenschutz gewährleisten will. Gleichwohl will der italienische Datenschutzbeauftragte seine Ermittlungen fortführen.
"Aufgrund der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden eine Prüfung des Dienstes ChatGPT durch", erklärt Hansen. Das ULD gehe nach dem Landesverwaltungsgesetz Schleswig-Holstein vor, in den anderen Bundesländern gelten vergleichbare Regelungen. Den Vorwurf, man würde nicht mit einer Stimme sprechen, weist die Datenschutzexpertin zurück: "Das Gegenteil ist der Fall": Über die Datenschutzkonferenz von Bund und Ländern mit ihrer Taskforce KI seien die Fragen abgestimmt: "Wir gehen zwar, wie rechtlich vorgesehen, getrennt und auf Basis des eigenen Verwaltungsrechts vor, aber in der Sache sind wir uns einig." Das reduziere auch für OpenAI den Aufwand.
Gleichwohl werde es bei dieser Anhörung nicht bleiben: "Im Thema KI brauchen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird nötig sein, dass wir uns auch mit der Aufsicht und Expert:innen in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht austauschen" stellt Marit Hansen klar.
(mho)