Künstliche Intelligenz (KI) gilt derzeit als Schlüsseltechnologie, von deren effektiver und effizienter Nutzung die Innovations- und Wettbewerbsfähigkeit von Unternehmen in entscheidendem Maße mit bestimmt wird. Immer neue KI-Anwendungen halten gerade Einzug in den Unternehmensalltag. Zeit, unsere Kunden über den aktuellen Stand der datenschutzrechtlichen Debatte zu informieren.
KI-Anwendungen: Fluch oder Segen?
Beispiel einer aktuell viel diskutierten KI-Anwendung ist „ChatGPT“. Seit Ende 2022 offiziell am Markt, erreichte der Dienst bereits in den ersten 5 Tagen nach Start 1 Million Nutzer. Ziel des Anbieters OpenAI war es, mit diesem Projekt künstliche Intelligenz zu erforschen und sie zum Wohl der Menschheit weiterzuentwickeln.
ChatGPT ermöglicht – wie auch die Wettbewerber „OPT“ von Meta oder „Bart“ von Google – eine vereinfachte Erstellung, Bearbeitung und Übersetzung von Texten und Grafiken aller Art. Nutzer und Nutzerinnen können mit dem sprach- und textbasierten Chatbot zu jedem nahezu erdenklichen Thema in einen Dialog treten, ein Ergebnis ist in Sekundenschnelle verfügbar. Soweit, so gut…
Die Interaktion mit dem Chatbot bedeutet aber auch, das jedes Gespräch und jede Eingabe der Nutzer Teil der Trainingsdaten des Anbieters wird und entsprechend gespeichert und weiterverarbeitet werden kann. Denkt man z.B. an das Erstellen von Fake-News, Phishing-Mails oder Schadsoftware, so bergen KI-Anwendungen also durchaus Gefahren.
Die Entwicklung in diesem Bereich ist rasant. Phishing-Angriffe werden zunehmend personalisierter und präziser. Gerade bei geschäftlicher Nutzung sollten Unternehmen daher Themen wie Identitätsdiebstahl und Betrug im Auge behalten und sich regelmäßig über eine sichere und datenschutzkonforme Nutzung informieren.
Wir wollen für Sie im folgenden einige Fragen beleuchten, die aus unserer Sicht datenschutzrechtlich derzeit von besonderer Bedeutung sind:
Wie geht das europäische Datenschutzrecht z.B. damit um, dass zur Erstellung von KI-Modellen in der Regel fremde Texte und Bilder und damit personenbezogene Daten ganz ohne vorherige Einwilligung der Betroffenen genutzt werden? Und sind sich die Nutzer von KI-Diensten darüber im Klaren, dass Ihre Eingabebefehle („Prompts“) von den Anbietern für die Weiterentwicklung ihrer Software weiter genutzt werden, wie es sich häufig aus den Nutzungsbedingungen der Dienste ergibt? Wie ist ein datenschutzkonformer Einsatz von KI-Diensten möglich? Wie steht es um die Unterlassungsverfügung der italienischen und deutschen Datenschutzbehörden gegen ChatGPT?
Grundsätzlich gilt für die Verarbeitung personenbezogener Daten:
Anbieter von Anwendungen, die personenbezogene Daten verarbeiteten, sind nach der DSGVO dazu verpflichtet, die dafür geltenden Voraussetzungen einzuhalten und die Betroffenen über den Zweck der Datenverarbeitung zu informieren. Darüber hinaus sind sensible Daten wie Gesundheitsdaten, Informationen über sexuelle Identität und Weltanschauung von der Datenverarbeitung ausgeschlossen.
Daten spielen bei KI-Anwendungen eine entscheidende Rolle, denn nur aus großen Mengen zur Verfügung gestellter Datensätze kann ein Algorithmus nachhaltig lernen. Somit werden alle – auch personenbezogene – Daten, die dem Chatbot offengelegt werden, Teil des Textkorpus, der zu Trainingszwecken des Systems genutzt wird. Eine explizite Einwilligung über die Verarbeitung der Daten nach der DSGVO wird im Fall von ChatGPT und auch bei anderen Diensten bislang nicht eingeholt, außerdem werden die Nutzer darüber nicht ausreichend informiert.
Wie verantwortliche EU Datenschutzbehörden reagieren:
Als amerikanisches Unternehmen hat OpenAI keine Niederlassung in der EU. Aufgrund der Verarbeitung personenbezogener Daten europäischer Nutzer sind die europäischen Datenschutzaufsichtsbehörden dennoch zuständig und haben zum Teil bereits Verfahren gegen OpenAI eröffnet.
Darunter ist zunächst die Italienische Datenschutzaufsichtsbehöre GPDP, welche tatsächlich bereits eine Untersagungsverfügung in Bezug auf ChatGPT gegen OpenAI erlassen hat. Eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch OpenAI sei nämlich nicht erkennbar. Insbesondere käme dafür eine Einwilligung in Betracht, eine solche Einwilligung wird aber von OpenAI bislang nicht eingeholt und es erfolgt auch keine Information darüber, dass die Daten von Nutzern und Nicht-Nutzern ohne ihr Wissen zum Training des Algorithmus genutzt werden.
Auch deutsche Behörden sehen dies ähnlich:
Sowohl der Hessische Beauftragte für Datenschutz und Informationsfreiheit als auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Würtemberg haben bei OpenAI bereits im April eine Stellungnahme angefordert, wie ChatGPT datenschutzrechtlich ausgestaltet ist. Eine Antwort des umfassenden Fragenkatalos wird für Mitte Juni erwartet, die Bewertung soll dann nach entsprechender Rückmeldung erfolgen. Ein einheitliches Vorgehen auf europäischer Ebene wird dabei angestrebt. Die Erwartungshaltung der Behörden ist aber, dass amerikanische KI-Anbieter den gleichen Datenschutz gewährleisten wie europäische Unternehmen.
Eine Untersagung von ChatGPT ist hierzulande aktuell zumindest nicht geplant, die Antwort von OpenAI wird jedoch mit Spannung erwartet. Parallel erarbeitet die EU bereits ein für alle Mitgliedsstaaten gültiges, praxistaugliches Regelwerk für die Nutzung von KI-Anwendungen in Europa.
WEBINAR ANKÜNDIGUNG
Um gemeinsam mit Ihnen die rechtlichen Grenzen der Nutzung künstlicher Intelligenz zu diskutieren, bieten wir von ePrivacy am Donnerstag, den 13. Juli 2023 um 12.00 Uhr gemeinsam mit unserer Partnerkanzlei UNVERZAGT Rechtsanwälte ein Webinar zum Thema an:
“Rechtliche Grenzen der Nutzung Künstlicher Intelligenz – Was ist der aktuelle Stand?“
Referent: Rechtsanwalt Dr. Lukas Mezger
Halten Sie sich diesen Termin gerne schon einmal frei. Nähere Informationen dazu erhalten Sie in den nächsten Tagen.