OpenAIDatenschutzkonferenz nimmt ChatGPT unter die Lupe

Die italienische Datenschutzbehörde sperrte ChatGPT vor wenigen Tagen landesweit und der kanadische Datenschutzbeauftragte hat ebenfalls Untersuchungen eingeleitet. Nun prüft auch die hiesige Datenschutzkonferenz, ob das Unternehmen OpenAI, das ChatGPT anbietet, gegen die DSGVO verstößt.

Das Logo von OpenAI unter einem Vergrößerungsglas
OpenAI gerät unter wachsenden Druck von Datenschutzbehörden

ChatGPT gerät zunehmend ins Visier von Datenschutzbehörden – und zwar weltweit. Bereits am vergangenen Freitag hatte die italienische Datenschutzbehörde den Chatbot vorläufig landesweit gesperrt. Sie begründete ihr Vorgehen unter anderem damit, dass ChatGPT gegen Datenschutz- und Jugendschutzrichtlinien verstoße.

Am Dienstag kündigte dann der kanadische Datenschutzbeauftragte an, einer Beschwerde über die mutmaßliche „Sammlung, Verwendung und Weitergabe von persönlichen Daten ohne Zustimmung“ nachzugehen. Und auch hierzulande gerät ChatGPT unter Druck. Die hiesigen Datenschutzbehörden prüfen, ob der Betrieb von ChatGPT gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Behörden in Frankreich und Irland haben ebenfalls Untersuchungen angekündigt.

ChatGPT ist ein Chatbot des Anbieters OpenAI in Partnerschaft mit Microsoft, der im November 2022 veröffentlicht wurde. Er gehört zur Klasse der sogenannten künstlichen neuronalen Netzwerke und hier speziell der Large-Language-Modelle (LLM). OpenAI trainiert den Chatbot mit öffentlich zugänglichen Datenmengen, darunter mutmaßlich auch personenbezogene Daten von Nutzer*innen.

Zuständig sind die Landesdatenschutzbehörden

Der Bundesdatenschutzbeauftragte Ulrich Kelber schloss eine Sperrung von ChatGPT in Deutschland gegenüber dem Handelsblatt nicht aus. Allerdings obliege die Entscheidung darüber den Landesdatenschutzbehörden, da Unternehmen in deren Zuständigkeitsbereich fielen.

Jan Wacke von der baden-württembergischen Landesdatenschutzbehörde erklärt auf Anfrage gegenüber netzpolitik.org: „Wir beobachten die Entwicklung intensiv und werden uns die Anwendung genauer anschauen.“ Es sei wichtig, dass Chatbots wie ChatGPT „auf Grundlage des europäischen Rechtsrahmens und unserer gesellschaftlichen Werte zum Einsatz kommen.“ Seine Behörde werde sich daher „inhaltlich mit ChatGPT auseinandersetzen und soweit erforderlich mit dem Unternehmen sprechen.“

Etliche offene Fragen

Es gebe „zahlreiche zu klärende Datenschutzfragen“, sagt auch die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen, insbesondere mit Blick darauf, ob OpenAI die in der DSGVO vorgeschriebenen Datenschutz-Folgenabschätzungen vorgenommen hat. Hansen äußerte gegenüber netzpolitik.org Bedenken, dass das Unternehmen personenbezogene Daten rechtmäßig verarbeite. Es sei unklar, ob OpenAI Betroffenenrechte und Datensicherheit ausreichend wahre – vor allem bei Kindern und Jugendlichen.

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, werde den Fall laut Hansen nun eingehend prüfen. Allerdings fehlten noch „weitergehende Informationen, beispielsweise zu den Datenquellen und zur Weitergabe an Dritte mit kommerziellen Interessen“. Diese wolle die DSK zunächst von OpenAI anfragen und im Anschluss auswerten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

    1. Das ist das/ein Dilemma. Einerseits kann es schon jetzt produktiv nutzbringend eingesetzt werden, je nach Gebiet, andererseits ist es in mehrerlei Hinsicht gefährlich. Eigentlich bleibt nur „NSFW“ für den allgemeinen Fall. Vielleicht besser noch FSK 21 dazu.

      Demgegenüber die Werbung mit „allgemeine Maschine“ und „kreativ“ und „intelligent“ und dem ganzen nützlichen herumgeeiere von Influencern und Pressemitteilungsabschreibern, dazu eine gehörige Portion Euphorie und fachunabhängiger Extrapolation.

    2. Das von Golem beschriebene Problem betrifft die LLM des GPT. Die Prüfung des LLMs ist nicht ohne weiteres möglich (Betriebsgeheimnis seit 4). Die DSK prüft nicht das LLM sondern ob die Schnittstelle zum RL LLM datenschutzkonform ist.

      1. Naja, es gäbe schon Möglichkeiten:
        – Einblick oder Einsatz untersagt.
        – – Module mit Internetzugriff würden konkret mindestens alle Fragen bzgl. Suchmaschinen auch hier mit aufwerfen.
        – Prinzipielle Eigenschaften von LLMs:
        – – Einblick in alle Traiiningsdaten oder Einsatz untersagt.
        – – (Die KI-Modelle der jüngsten letzten Stunde, sind höchstwahrscheinlich alle nicht datenschutzkonform, da auf „Fair Use“ gesetzt bzw. gebaut wird, mit der Kalkulation, dass der Hype Bedenken weit genug in den Hintergrund drücken wird.)

        Schon bei Suchmaschinen ist der Cloudaspekt derjenige, der die Anwendung für ganze Gesellschaften zum Hochrisikogebiet macht. Das ändert sich auch nicht durch „Einschätzungen“. Bei Suchmaschinen gibt es scheinbar die Illusion, es ginge nur um reale Ergebnisse, was zumindest bei den großen Playern nachgewiesenermaßen so nicht stimmt.

        1. Die Datenschutztruppe aus Italien(?) hat sich gerade damit zufriedengegeben, dass die Nutzerdaten während des Gebrauchs durch ein Formular geschützt werden.

          Daraus folgere ich Folgendes:
          – Trainingsdaten und diesbezügliche Funktion wurden nicht betrachtet oder für harmlos erachtet.
          – Das System lern nicht in Echtzeit, „optimiert sich“ nicht (während der Nutzung), oder entsprechende Funktion wurde als harmlos erachtet.
          – Das System nutzt keine Daten still, oder entsprechende Funktion wurde als harmlos erachtet.

          Den Artikeln entnehme ich soweit, dass es um die Eingaben der Nutzer geht. Anderes konnte ich bisher nicht ableiten.

  1. Nicht ChatGPT sondern OpenAI gerät zunehmend ins Visier von Datenschutzbehörden. ChatGPT ist kein Chatbot, der Begriff ChatBot ist irreführend und beschreibt u.a. triviale Software. ChatGPT wurde auch nicht gesperrt, wie oft berichtet sondern OpenAI wurde aufgefordert Anfragen deren Ursprung in Italien lag nicht zu verarbeiten bzw. abzulehnen. Die Probleme der DSVGO betreffen nicht das RL GPT LLM sondern den Datenschutz der Nutzer-Schnittstelle (Teile der Dialoge von anderen Nutzern waren sichbar).

    Es wäre schön wenn euer Formular meine Daten so wiedergibt wie ich sie eingebe, die Redaktion Praktikanten unterstützt, anstatt sie bei komplexen und komplizierten Themen alleinzulassen. Es bleibt noch festzuhalten, das weder ChatGPT 3, 3.5 oder 4 eine Prüfung bestanden haben, es (das RL GPT LLM) lediglich eine Anzahl Fragen aus Prüfungen richtig beantwortet. Teilnahme an einer Prüfung erfordert (imho, u.a.) physische Präsenz und der Einsatz der Werkzeuge die zum bestehen der Prüfung notwendig sind, sind vorgegeben und überprüfbar. Vielen Dank für die Moderation der vorherigen, dies ist meine letzte Kommentarspende.

  2. >> Bedenken, dass das Unternehmen personenbezogene Daten rechtmäßig verarbeite. Es sei unklar, ob OpenAI Betroffenenrechte und Datensicherheit ausreichend wahre <<

    Es ist davon auszugehen, dass Unternehmen wie OpenAI die weitere Verwendung ihrer Produkte durch Anwender in weitgehendem Ausmaß ausforscht.

    Produktbezogen ist es von größtem Interesse zu verfolgen, wo die erstellten Texte im öffentlichen Raum eingesetzt werden und welche Veränderungen kundenseitig vorgenommen worden sind. Auch ist von Interesse, ob die Texte als AI-Zitat gekennzeichnet auftauchen, oder ob das unterbleibt. Wie bei jedem Produkt bzw. Service ist von größtem Interesse, wer, wann, wo, warum und auf welche Weise das Produkt eingesetzt wird. Es ist davon auszugehen, dass die Suchmaschinen-Crawler dafür benutzt werden, Texte daraufhin zu untersuchen, ob und welche Teile der AI-Texte identifiziert bzw. "wiedererkannt" werden können.

    Das hohe Missbrauchspotential ist den Entwicklern seit langem und hinlänglich bekannt. Dieser Umstand bedeutet, dass das Unternehmen alle nur möglichen Daten im Nachgang sammeln muss, einerseits um drohende Regulierungen abzuwenden, aber auch um alles schon produktseitig zu Vermeiden, was das Projekt und damit die Profitabilität gefährden könnte.

    1. Wegen der Natur der Sache ist es somit auch verrückt, über flächendeckenden Einsatz auch nur nachzudenken. Auch aggregierte Daten werden mit der Fläche zur Waffe. Das sind die Bereiche, in denen es gilt, Alternativen zu schaffen. Stattdessen sollen wir Alternativen zur „Chatkontrolle“ mitdenken o.ä., wo es sein zu lassen, die einzig sinnvolle Lösung sein kann.

  3. Wenn das mal kein Datenschutzhype ist!
    Gerade auf NDR Info eine Werbesendung zu „wie ChatGPT in der Bildung einsetzen“.

    Keine Regung bzgl. des flächendeckenden Einsatzes einer nicht kontrollierbaren Cloudlösung, irgendwie Datenschutz wird erwähnt, dazu differenzierte Meinungen zum Nutzen, aber alles 100% auf ChatGPT geframed. Das ist doppelt unkontrollierbar: nicht nur was herauskommt, sondern auch was mit dem geschieht, was hineingeht. Also das IPhone. Warum haben nicht alle Schüler IPhones?

    ChatGPT ersetzt bereits jetzt Schreibkräfte, allerdings sind Unternehmer da auch mal so differenziert unterwegs, den Einsatz von DeepL zu erwähnen. Nicht in dieser Sendung.

    Zum Mitmeißeln: es gibt keinen Datenschutz mit einer US-Cloudversion. Auf Datenschutz bei einer EU/DEU-Cloudversion würde ich auch nicht setzen wollen. Die gesamte Bildungslandschaft jetzt einen Vampir umarmen zu lassen, ist eine jeglicher zukünftiger Unabhängigkeit diametral entgegengesetzte Scheißidee. Das so zu diskutieren, ist bereits ein Zeichen gefährlicher Naivität.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.