Der Hessische Datenschutzbeauftragte Prof. Alexander Roßnagel hat heute das in San Francisco ansässige Unternehmen OpenAI, das den derzeit vieldiskutierten Dienst ChatGPT betreibt, aufgefordert, einen Fragenkatalog zur Datenverarbeitung bei ChatGPT zu beantworten. Seine Fragen betreffen die Gewährleistung des Grundrechts- und Datenschutzes bei der Nutzung dieses Dienstes. „Je nach Fragen- oder Aufgabenstellung an ChatGPT gibt die nutzende Person unterschiedlich viele, teils sensitive Informationen von sich preis – etwa zu Interessen an politischen, religiösen, weltanschaulichen oder wissenschaftlichen Fragen oder zu ihrer familiären oder sexuellen Lebenssituation. Auch können Fragen über andere Personen gestellt werden. Unklar ist, zu welchen Zwecken eingegebene Daten verarbeitet werden und aus welchem Datenpool die hinter dem Dienst liegende, künstliche Intelligenz ihr Wissen speist. Erst wenn diese Fragen beantwortet wurden, kann ich prüfen, ob sich OpenAI mit ChatGPT an die europäischen Datenschutzvorgaben hält,“ erklärt Roßnagel.
Die Fragen beziehen sich insbesondere darauf, ob die Datenverarbeitung den datenschutzrechtlichen Grundprinzipien gerecht wird, ob sie auf einer gültigen Rechtsgrundlage beruht und ob sie für die Betroffenen ausreichend transparent ist. Zum Schutz von Kindern und Jugendlichen wird gefragt, welche Altersgrenze für die Nutzung von ChatGPT bestimmt ist, wie die Einhaltung der Altersgrenze überprüft wird und ob für alle Nutzenden unter 16 Jahren die Einwilligung der Erziehungsberechtigten eingeholt wird. Außerdem erfragt Roßnagel, ob die Nutzungsdaten als Trainingsdaten im Rahmen des maschinellen Lernens verwendet werden, welche Quellen für die Auskünfte über Personen genutzt werden und für welche Zwecke (z.B. Profilbildung und Werbung) die Nutzungsdaten gespeichert werden.
Da OpenAI keine Niederlassung in der EU unterhält, sind alle europäischen Datenschutzaufsichtsbehörden dafür zuständig, in ihrem jeweiligen örtlichen Zuständigkeitsbereich die Einhaltung der Datenschutz-Grundverordnung (DS-GVO) durch das Unternehmen zu überwachen.
Die Fragen sind mit den anderen deutschen Aufsichtsbehörden in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Innerhalb der EU findet eine Koordination in einer Taskforce des Europäischen Datenschutzausschusses statt.
„Sobald uns die Antwort von OpenAI vorliegt, werde ich mich mit den anderen Aufsichtsbehörden in Deutschland und Europa in der Bewertung der Antworten abstimmen. Als Reaktion auf die Bewertung kann ich nach der DS-GVO vielfältige und wirksame Instrumente nutzen. Dabei geht es mir nicht darum, der gesellschaftlichen Bewertung von KI-Systemen vorzugreifen. Vielmehr fordere ich von amerikanischen KI-Anbietern den gleichen Datenschutz wie von europäischen Anbietern“, so Roßnagel.