ChatGPT: OpenAI soll 15 Millionen Euro für Datenschutzverstöße zahlen

Weil OpenAI sich bei ChatGPT nicht an die europäischen Datenschutzregeln hält, hat die italienische Datenschutzbehörde Garante das KI-Start-up zu einer Strafe in Höhe von 15 Millionen Euro sowie einer Informationskampagne verurteilt. Grundlage für den Beschluss ist das seit März 2023 laufende Verfahren.

Laut der Mitteilung hat OpenAI damals personenbezogene Daten für das KI-Training verarbeitet, ohne zuvor eine adäquate Rechtsgrundlage zu schaffen. Die italienischen Datenschützer bewerten das als Verstoß gegen die Transparenzpflichten gegenüber den Nutzern. Weitere Verstöße waren Mängel beim Jugendschutz, ebenso hat OpenAI die Datenschutzprobleme im März 2023 nicht an die Behörde gemeldet.

OpenAI muss Nutzer aufklären

Die Konsequenz ist nun die Strafzahlung in Höhe von 15 Millionen Euro. Zusätzlich wird OpenAI zu einer Informationskampagne verpflichtet, die über Radio, Fernsehen, Zeitungen und Internet laufen soll. In dieser Kampagne soll OpenAI die Funktionsweise von ChatGPT und insbesondere den Umgang mit dem Datenschutz erklären. Die Inhalte müssen mit der Datenschutzbehörde abgestimmt werden.

Laut einem Bericht der Nachrichtenagentur Reuters hat OpenAI bereits angekündigt, Berufung gegen die Entscheidung einzulegen. Diese sei „unverhältnismäßig“.

Garante-Ermittlungen führten zu ChatGPT-Sperre in Italien

Die Ermittlungen der italienischen Garante führten im Frühjahr 2023 dazu, dass ChatGPT in Italien für einige Wochen gesperrt war. OpenAI musste zunächst einige Auflagen erfüllen, damit der Chatbot wieder freigegeben wurde. Dazu zählte etwa, dass Nutzer auswählen können, ob Chatbot-Eingaben für das Training der KI-Modelle verwendet werden dürfen.

EU erarbeitet neue Datenschutzregeln für generative KI

Nach wie vor arbeitet die EU aber an den Datenschutzregeln, die im Umgang mit generativer KI gelten. Zuletzt hatte sich der Europäische Datenschutzausschuss (EDSA) zu dem Thema geäußert. Laut der Stellungnahme ist die Entwicklung von KI-Modellen mit personenbezogenen Daten möglich, wenn die jeweiligen Anbieter ein berechtigtes Interesse haben, das die Datenverarbeitung legitimiert. Ob das der Fall ist, müssen jeweils die Datenschutzbehörden in den EU-Staaten beurteilen.

Als Hilfsmittel schlägt der EDSA einen dreistufigen Test vor. Als Beispiel für so ein Verfahren nennt man ein KI-System, das die Cybersicherheit verbessern soll. Weil ein solcher Dienst für Einzelpersonen von Vorteil sein kann, ist ein berechtigtes Interesse denkbar, sofern die Verarbeitung personenbezogener Daten erforderlich ist und der Entwickler die Entscheidung abgewogen hat.

Werden KI-Modelle unrechtmäßig mit personenbezogenen Daten trainiert, könne das entscheiden, ob der Einsatz des Systems am Ende rechtmäßig ist, so der EDSA. Ein Ausweg für die KI-Entwickler ist in einem solchen Fall die Anonymisierung. Diese gilt, wenn es sehr unwahrscheinlich ist, Personen zu identifizieren, obwohl deren Daten für das Training verwendet werden sollen. Auch in diesem Bereich nennt der EDSA eine Reihe von Methoden, mit denen Datenschutzbehörden die Anonymität prüfen können.

Der EDSA besteht aus Vertretern der europäischen Datenschutzbehörden. Das Gremium entwickelt selbst keine Regeln, sondern verfasst Handlungshilfen und Leitlinien, an denen sich die EU-Datenschützer orientieren können. So will man eine einheitliche Rechtsprechung in der EU fördern.