Landesdatenschutzbehörde hört OpenAI an

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gab das Anhörungsschreiben frei, das an das US-amerikanische Unternehmen OpenAI gerichtet war. In dem Schreiben wird ein Fragenkatalog aufgeführt, bei dem lediglich die Namen der Ansprechpartner anonymisiert wurden. Im April 2023 haben die deutschen Landesdatenschutzbehörden ein Verwaltungsverfahren gegen das Unternehmen OpenAI eingeleitet. OpenAI hatte im November 2022 den KI-Chatbot ChatGPT der Öffentlichkeit vorgestellt. Die Datenschutzbehörden möchten prüfen, ob die Algorithmen der KI-Software den Anforderungen der europäischen Datenschutzregeln gemäß der Datenschutzgrundverordnung (DSGVO) entsprechen.

Die Fragen des ULD an OpenAI

Über 40 rechtsrelevante Fragen wurden im Rahmen der Anhörung gestellt. Diese Fragen beziehen sich auf ChatGPT und die zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Um diese Annahme zu überprüfen, wurde OpenAI gebeten, rund 40 Fragen zu beantworten. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen erklärt, dass der Fragebogen die wesentlichen Datenschutzfragen umfasst. Dabei geht es um Grundsätze der Datenverarbeitung, Rechtmäßigkeit, die Rechte der betroffenen Personen sowie die Gestaltung im Bereich Datenschutz und Sicherheit.

Die Datenschützer möchten beispielsweise wissen, wie OpenAI die Richtigkeit der verwendeten Daten sicherstellen wird, insbesondere wenn Betroffene Berichtigungen oder Löschungen fordern. Auch interessiert sie, aus welchen Quellen die verarbeiteten Daten stammen, die zur Schulung der Sprachmodelle verwendet werden. OpenAI wird gebeten, die entsprechenden Rechtsgrundlagen zu erläutern. Es ist unklar, ob das Unternehmen erhobene personenbezogene Daten vor dem KI-Training pseudonymisiert, anonymisiert oder anderweitig aufbereitet.

Zusätzlich soll OpenAI klären, ob eine Profilbildung der Nutzerinnen und Nutzer durch Tracking erfolgt. Falls dies der Fall ist, wird das Unternehmen gebeten, den Zweck der Profilbildung zu erläutern: Dient sie Werbezwecken oder dem Training von Methoden des maschinellen Lernens? Kann man Nutzungsdaten auch wieder löschen? In der Datenschutzerklärung von OpenAI wird erwähnt, dass Nutzungsdaten erhoben werden und es ist die Rede von “verschiedenen Online-Analytics-Produkten”. Hier soll genauer erläutert werden, was damit gemeint ist.

Des Weiteren wird OpenAI aufgefordert, eine Datenschutzfolgenabschätzung vorzulegen. Falls eine solche Abschätzung nicht durchgeführt wurde, soll das Unternehmen dies begründen. Es bestehen auch offene Fragen zum besonderen Schutz von Kindern und Jugendlichen, zum Datentransfer und schließlich zur möglichen Nutzung durch andere Dienste oder Unternehmen.

OpenAI möchte längere Frist

OpenAI hat seine Kooperationsbereitschaft gezeigt und zugesagt, die Fragen des ULD zu beantworten. Die sechswöchige Frist zur Beantwortung endete am 7. Juni 2023. Allerdings hat OpenAI bereits erfolgreich eine Verlängerung der Frist beantragt. Das ULD gab bekannt, dass der aktuelle Stand des Verfahrens auf der Webseite zu ChatGPT dokumentiert werden soll. Die Veröffentlichung der Antworten von OpenAI L.L.C. erfolgt möglicherweise nicht unmittelbar, da sie sensible Informationen wie Betriebsgeheimnisse enthalten könnten, erklärt Hansen. Sie betont, dass es sich um ein laufendes, nicht öffentliches Verfahren handelt.

Da OpenAI keine Niederlassung in der Europäischen Union hat, sind die europäischen Datenschutzaufsichtsbehörden in ihren jeweiligen Mitgliedstaaten für das Unternehmen zuständig. Im Gegensatz dazu haben Google und Microsoft eine zentrale Niederlassung in Irland, weshalb die irische Datenschutzaufsicht für sie zuständig ist. In Bezug auf die Durchsetzung der DSGVO zeigte sich die irische Aufsichtsbehörde in den vergangenen Jahren mehrfach sehr zögerlich.

Zusammenarbeit im Bereich der KI-Regulierung nötig

Die Datenschutzbehörde in Italien hob Ende April ein zuvor verhängtes Verbot gegen ChatGPT auf, das seit Ende März in Kraft war. OpenAI hatte der Behörde Maßnahmen vorgelegt, mit denen eine verbesserte Datenschutzpraxis gewährleistet werden sollte. Dennoch plant der italienische Datenschutzbeauftragte, seine Ermittlungen fortzusetzen.

“Angesichts der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden Prüfungen des ChatGPT-Dienstes durch”, erklärt Hansen. Das ULD folgt dabei dem Landesverwaltungsgesetz Schleswig-Holstein, während in den anderen Bundesländern ähnliche Regelungen gelten. Die Datenschutzexpertin weist den Vorwurf zurück, dass keine einheitliche Stimme vorhanden sei. Im Gegenteil, über die Datenschutzkonferenz von Bund und Ländern und ihre Taskforce KI wurden die Fragen abgestimmt. “Wir handeln zwar getrennt und basierend auf unserem eigenen Verwaltungsrecht, sind uns jedoch in der Sache einig”, betont sie. Dies verringere auch den Aufwand für OpenAI.

Dennoch beschränkt sich die Anhörung nicht nur auf diese Maßnahme. “Im Bereich KI benötigen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird auch notwendig sein, uns mit Aufsichtsbehörden und Experten in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht auszutauschen”, betont Marit Hansen.