Nachdem die italienische Datenschutzbehörde bekannt gab, dass sie am 30. März 2023 einen Bescheid erlassen hat, der die Nutzung der KI-Software ChatGPT vorübergehend untersagt, sind nun auch die deutschen Datenschutzbehörden aktiv geworden.
OpenAI als Hersteller von ChatGPT unterhält keine Niederlassung in der EU. Aus diesem Grund sind die für den europäischen Datenschutz zuständigen Landesbehörden aufgerufen, die Einhaltung der DSGVO durch das Unternehmen zu überwachen.
Der Grund, für das Verbot in Italien und das Interesse der anderen europäischen Datenschutzbehörden, sind gleich mehrere datenschutzrechtliche Bedenken. So wird beispielsweise beanstandet, dass:
- Den Benutzern von ChatGPT keine Informationen darüber gegeben wird, dass personenbezogene Daten verarbeitet werden und wie mit den Daten umgegangen wird;
- zu welchen Zwecken die personenbezogenen Daten verarbeitet werden;
- wie lange die Daten gespeichert werden
- vor allem aber, dass es an einer Rechtsgrundlage für die massenhafte Erhebung und Verarbeitung fehlt und unklar bleibt, welche Inhalte zu Trainingszwecken verwendet werden.
In Deutschland ist ChatGPT zwar noch nicht verboten, eine DSGVO-konforme Nutzung ist aktuell aber auch nicht möglich.
Die deutschen Aufsichtsbehörden in der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) haben einen Fragenkatalog abgestimmt und OpenAI aufgefordert diesen, in Bezug auf die Einhaltung der datenschutzrechtlichen Grundsätze der DSGVO, zu beantworten.
Zu der Frage, wie es weitergehen kann äußerte sich der Hessische Datenschutzbeauftrage Prof. Dr. Alexander Roßnagel wie folgt:
„Je nach Fragen- oder Aufgabenstellung an ChatGPT gibt die nutzende Person unterschiedlich viele, teils sensitive Informationen von sich preis – etwa zu Interessen an politischen, religiösen, weltanschaulichen oder wissenschaftlichen Fragen oder zu ihrer familiären oder sexuellen Lebenssituation. Auch können Fragen über andere Personen gestellt werden. Unklar ist, zu welchen Zwecken eingegebene Daten verarbeitet werden und aus welchem Datenpool die hinter dem Dienst liegende, künstliche Intelligenz ihr Wissen speist. Erst wenn diese Fragen beantwortet wurden, kann ich prüfen, ob sich OpenAI mit ChatGPT an die europäischen Datenschutzvorgaben hält,“