Der erste Teil der vorliegenden Reihe zu Rechtsfragen der KI hat sich insbesondere mit möglichen Verstößen von KI-Generatoren wie ChatGPT gegen Urheberrechtsbestimmungen sowie der urheberrechtlichen Schutzfähigkeit der KI-Arbeitsergebnisse beschäftigt. Nun hat die italienische Datenschutzbehörde am 31.03.23 ChatGPT für Italien gesperrt, weil der Chatbot gegen Datenschutz- und Jugendschutzbestimmungen verstoßen soll. Grund genug, mögliche Datenschutzprobleme von ChatGPT genauer zu betrachten.
Wie bei einem Chat kann der Nutzer mit KI-Generatoren wie ChatGPT über Text-, Bild- oder Spracheingaben kommunizieren. KI-Generatoren arbeiten zur Erstellung von Inhalten mit Mustern und Vorlagen, die sie im Wege des Data Mining aus großen Mengen an Trainingsdaten häufig aus dem Internet gewinnen. Dabei kommt es auch zur Erhebung und Verarbeitung von personenbezogenen Nutzerdaten. ChatGPT führt virtuelle Gespräche und sammelt dabei auch die persönlichen Fragen, Probleme, Interessen, sozialen Umstände, Lebensläufe, Profile usw. der Nutzern. Damit müssen KI-Generatoren wie ChatGPT die einschlägigen Datenschutzbestimmungen, insbesondere aus der DSGVO und dem BDSG oder LDSG einhalten.
Fehlende oder unzureichende Rechtsgrundlagen
Die erhobenen personenbezogenen Daten sind auch geeignet, um auf Basis der Interessen der Nutzer gezielte Werbe- und Marketingmaßnahmen umzusetzen. Dies stellt nicht nur ein erhebliches Risiko für den Persönlichkeitssschutz der Betroffenen dar, sondern erfordert in der Regel auch deren Einwilligung.
Aber auch ohne gezielte Werbung verarbeitet der Chatbot in großem Umfang personenbezogene Daten, z.B. aus Unterhaltungen der Nutzer, um damit das System zu trainieren und zu verbessern, weshalb die Frage nach ausreichenden Rechtsgrundlagen zu stellen ist. In Frage kommt hier zunächst Art. 6 Abs. 1 lit. b DSGVO , also die Erfüllung vertraglicher Pflichten durch die Anbieter. Dabei muss es sich allerdings um eine Vertragsbeziehung mit dem Betroffenen handeln. Die erhobenen Daten werden aber nicht nur für den konkreten Nutzer, sondern sollen auch für darüber hinausgehende allgemeine Zwecke wie das maschinelle Lernen oder andere Nutzer verwendet werden.
Wirksame Einwilligungen für gezielte Werbung oder die Verarbeitung der Daten nach Art. 6 Abs. 1 lit. a DSGVO werden in der Regel nicht eingeholt. Auch ist fraglich, ob wirksame Einwilligungen aller Betroffenen überhaupt in informierter Weise möglich sind, da die konkrete Verwendung dem Einwilligenden vorher nicht bekannt ist.
Damit bliebe als Rechtsgrundlage nur das sehr schwammige berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, das aber eine umfassende Güterabwägung erfordert, deren Ergebnis angesichts der erheblichen Risiken für die Betroffenen dem Einzelfall vorbehalten bleibt. Hier wird man sehen müssen, wie sich die Rechtspraxis entwickelt, was die Datenschutzbehörden fordern und in welchem Umfange berechtigte Interessen anerkannt werden.
Verletzung der Informationspflichten
KI-Generatoren erteilen den Betroffenen häufig keine ausreichenden Datenschutzhinweise nach Art. 13 DSGVO. Die konkreten Verarbeitungsvorgänge sind nur unzureichend vorhersehbar, weshalb die Umsetzung der Anforderungen an wirksame Datenschutzerklärungen Schwierigkeiten bereitet. Eine konkrete Information der Betroffenen bei jeder neuen Verwendung – so man sie fordern würde – dürfte auf keinen Fall realisierbar sein. Diese Anforderungshöhe wird auch nicht z.B. von Suchmaschinen oder Übersetzungsdiensten gefordert.
Verstoß gegen Datenrichtigkeit, Berichtigungs- und Löschpflichten
Nach dem Prinzip der Datenrichtigkeit gemäß Art. 5 Abs. 1 lit. d DSGVO müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
Der Betroffene hat gemäß Art. 16 DSGVO das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat der Betroffene das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Fehlerhafte Antworten eines Chatbots, die das Prinzip der Datenrichtigkeit betreffen, sind sicherlich nicht per se ein Datenschutzverstoß des Anbieters. Aber ChatGPT legt seine Quellen nicht umfassend offen, sodass Angaben häufig nicht nachprüfbar sind. Die Arbeitsergebnisse enthalten auch Falschangaben, auch falsche Quellenangaben usw. Dies betrifft in vielen Fällen Falschinformationen über konkrete Personen. Jeder der seinen eigenen Namen bei ChatGPT eingibt, muss damit rechnen, dass die ausgeworfenen Ergebnisse auch unrichtige Angaben enthalten. In einem besonders anschaulichen Fall hat vor Kurzem ein australischer Bürgermeister ChatGPT wegen Verleumdung verklagt, da er fälschlicherweise beschuldigt wurde, wegen Bestechung im Gefängnis gewesen zu sein.
Häufig gibt es aber kein Zurück mehr. Der Betroffene oder Nutzer ist u.U. nicht selbständig in der Lage, unrichtige Daten gezielt aus dem System zu entfernen oder zu berichtigen. Damit können Verstöße gegen Berichtigungs- oder Löschungspflichten der Anbieter nach Art. 16, 17 DSGVO vorliegen. Von den Anbietern ist deshalb eine Weiterentwicklung zu fordern, sodass Falschinformationen leichter gelöscht oder berichtigt werden können.
Fehlende Altersverifikation
Nach Meinung der italienischen Datenschutzbehörde verletzt ChatGPT Jugendschutzbestimmungen nach Art. 8 DSGVO, weil es an einer ausreichenden Altersverifikation fehlen soll. Art. 8 DSGVO regelt die Anforderungen für datenschutzrechtlich wirksame Einwilligungen von Minderjährigen. Eine Pflicht zur Altersverifikation ist in der Vorschrift allerdings nicht vorgesehen.
Unzulässiger Datentransfer in unsichere Drittstaaten
Die KI-Generatoren erheben, speichern und verarbeiten große Mengen an Nutzerdaten, um das System zu trainieren. Die Server vieler Anbieter, die wie OpenAI überwiegend US-Firmen sind, stehen häufig in den USA. Deshalb kommt es in ebenso großem Umfang zu Datenübertragungen in die USA oder andere unsichere Drittländer.
In der richtungsweisenden EuGH-Entscheidung Schrems II hat der EuGH strenge Anforderungen definiert, unter denen personenbezogene Daten weiterhin in die USA übermittelt werden dürfen. Notwendig ist seitdem eine spezielle Risikoanalyse, die auch Transfer Impact Assessment (TIA) genannt wird und in Klausel 14 der neuen SCC geregelt wurde.
Verstoß gegen Geheimschutz und Datenabfluss
Eine Kollision mit dem Geheimschutz durch den Abfluss kritischer Betriebsgeheimnisse droht bei nicht ausreichend vorsichtigen Mitarbeitern. Beim Einsatz von ChatGPT sind die Nutzer regelmäßig in Versuchung für eine schnelle Problemlösung auch sensible Geschäftsinformationen, Unternehmensdaten oder Software-Code einzugeben. So ist z.B. der Fall eines großen Chipherstellers bekannt geworden, bei dem Teile des Quellcodes einer Messdatenbank bei ChatGPT gepromptet wurden, um eine Lösung für ein aufgetretenes Software-Problem zu finden.
Hier müssen Unternehmen und Behörden gegensteuern durch intensive Sensibilisierung der Mitarbeiter und die Gestaltung spezieller Nutzungsrichtlinien (Arbeitsanweisungen) für den Umgang mit KI-Generatoren.
Automatisierte Entscheidungsfindung
Ein weiteres Datenschutzproblem ist die mögliche Verwendung von KI-Technologie zur automatisierten Entscheidungsfindung. ChatGPT verwendet KI-Algorithmen, um auf der Grundlage von Benutzerdaten Texte zu erstellen, bei denen u.U. auch Entscheidungen zu treffen sind. In einigen Fällen können diese Entscheidungen ungenau oder fehlerhaft sein, was zu erheblichen Nachteilen für die Betroffenen führen kann.
Die Verwendung von KI-Werkzeugen kann Personen diskriminieren, da die Algorithmen auf Vorurteilen und Stereotypen basieren können. Die Algorithmen von ChatGPT sollten regelmäßig überprüft werden, um sicherzustellen, dass sie fair und unvoreingenommen arbeiten.
Gerade wenn KI-Software in die Anwendungen am Arbeitsplatz integriert und mit den Unternehmensinformationen trainiert wird, drohen rechtswidrige Entscheidungsprozesse. So könnte ein Vorgesetzter die Arbeitsergebnisse eines Mitarbeiters wie seinen E-Mail-Verkehr, Ausarbeitungen, Power-Point-Präsentationen usw. für die automatisierte Erstellung von Leistungsbeurteilungen nutzen. Gemäß Art. 22 DSGVO hat die betroffene Person aber das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Fazit
Durch die Verwendung auch personenbezogener Daten liegt die umfassende Datenschutzproblematik bei Einsatz von KI-Werkzeugen auf der Hand. Dabei ist die Rechtslage noch uneinheitlich und stark im Fluss und muss im Laufe der kommenden Jahre durch die beteiligten Fachkreise, Datenschutzbehörden und Gesetzgeber weiterentwickelt werden, um zu adäquaten Lösungsansätzen zu kommen.
Haben Sie Interesse an den rechtlichen Details oder weitere Fragen zum rechtssicheren Einsatz von ChatGPT oder anderen KI-Generatoren so erläutert Ihnen unser Spezialist Rechtsanwalt Horst Speichert, Mitgeschäftsführer der esb data GmbH, gerne persönlich die notwendigen Maßnahmen für den rechtskonformen Einsatz. Auch wenn Rechtsanwalt Speichert Sie mit einer Gap-Analyse unterstützen kann, nehmen Sie einfach Kontakt mit uns auf: horst.speichert@esb-data.de