Die italienische Datenschutzaufsichtsbehörde hat der Firma OpenAI untersagt, personenbezogene Daten von italienischen Bürgerinnen und Bürgern im Rahmen der Anwendung ChatGPT zu verarbeiten. Die Behörde hat angekündigt, das Verbot aufzuheben, sofern das Unternehmen eine Reihe von Maßnahmen umsetzt. Diese betreffen unter anderem die Transparenz der Datenverarbeitung, die Rechte betroffener Personen und die Rechtsgrundlage für das Training des Algorithmus mit Nutzerdaten.
In Deutschland obliegt es den Landesdatenschutzaufsichtsbehörden, sich mit den datenschutzrechtlichen Fragestellungen der Verarbeitung von personenbezogenen Daten durch ChatGPT und ähnlichen KI-Anwendungen zu befassen.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit teilt die Bedenken der italienischen Aufsichtsbehörde. Auch er befürchtet, dass OpenAI mit ChatGPT u.a. personenbezogene Daten auch von Kindern verarbeitet, gegen die Datenschutzgrundsätze der Zweckbindung und der Datenminimierung verstößt, die Daten ohne Rechtsgrundlage verarbeitet und die Rechte betroffener Personen nicht ausreichend sicherstellt. Ob er Anordnungen wie in Italien trifft, kann er aber erst entscheiden, wenn er weitergehende Informationen – beispielsweise zu den Datenquellen oder zu den Algorithmen hinter der automatisierten Datenverarbeitung und zur Weitergabe an Dritte mit kommerziellen Interessen – bei OpenAI eingeholt hat. Ein solches Vorgehen ist ein Gebot der Rechtsstaatlichkeit, voreilige Einschätzungen würden der Bedeutung der Fragestellungen nicht ausreichend Rechnung tragen.
Angesichts der großen Bedeutung solcher Anwendungen stimmt er sich in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit den anderen deutschen Aufsichtsbehörden in diesen Fragen ab. Die Anwendung ChatGPT soll Gegenstand einer in der Datenschutzkonferenz oder gar im Europäischen Datenschutzausschuss koordinierten datenschutzrechtlichen Prüfung sein.