ChatGPT: 5 DSGVO-Hürden die man beachten sollte | Fieldfisher
Skip to main content
Insight

ChatGPT: 5 DSGVO-Hürden die man beachten sollte

A digital display shows a red and pink matrix of hexadecimal code with a large blue arrow pointing downwards in the center. The background is dark, allowing the bright colors and intricacies of the code to stand out.

Locations

Germany


Wird OpenAI diese Probleme angehen?
 
Da ChatGPT für die digitale Kommunikation immer beliebter wird, ist es wichtig zu wissen, wie es mit der  Datenschutz-Grundverordnung (DSGVO) zusammenhängt. In diesem Artikel werden fünf grundlegende Komponenten der DSGVO erläutert, die ChatGPT einhalten muss, sowie die Gründe, warum man an ihrer Einhaltung zweifeln könnte.
 
Am Ende dieses Artikels werden Sie ein gründliches Verständnis dafür haben, was ChatGPT benötigt, um die DSGVO einzuhalten und warum man zögern könnte. Lassen Sie uns loslegen!


DSGVO-Grundsätze
Bevor wir uns mit den DSGVO-bezogenen Problemen von OpenAIs ChatGPT befassen, sollten wir uns die grundlegenden Prinzipien der EU-DSGVO ansehen. Hier ist ein kurzer Überblick:
 
  • Die EU-DSGVO regelt den Umgang mit personenbezogenen Daten durch Verantwortliche und Auftragsverarbeiter in der Europäischen Union (EU).
  • Die EU-Datenschutzvorschriften gelten grundsätzlich für alle Unternehmen, Einrichtungen oder Personen, die in der Europäischen Union personenbezogene Daten verarbeiten oder personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von ihrem Standort.
  • Die Menschen erhalten grundsätzlich die Befugnis, auf ihre eigenen persönlichen Daten zuzugreifen und sie zu verwalten.
  • Organisationen brauchen eine Rechtsgrundlage und müssen in bestimmten Fällen die ausdrückliche Einwilligung von Personen einholen, bevor sie deren persönlichen Daten sammeln oder nutzen.
  • Organisationen müssen den Schutz personenbezogener Daten durch geeignete technische und organisatorische Vorkehrungen gewährleisten.
  • Im Falle einer Datenschutzverletzung sind Organisationen verpflichtet, die Aufsichtsbehörden und die Betroffenen zu benachrichtigen.
 
ChatGPT - was ist das, und wie funktioniert es?
Im November 2022 stellte OpenAI ChatGPT vor, einen Chatbot, der eine Deep-Learning-Methode verwendet, die als "Transformator-Architektur" bekannt ist. Diese Technik durchforstet Terabytes von Daten, die Milliarden von Wörtern enthalten, um Antworten auf Fragen oder Aufforderungen zu finden. Sie ist Teil der GPT-3-Familie größerer Sprachmodelle und wurde mit überwachten und verstärkenden Lernansätzen spezialisiert. ChatGPT nutzt Daten aus dem Internet, aus Büchern und Wikipedia und kann kostenlos genutzt werden, um Konversationsantworten zu generieren.

Die Entwicklung von KI wie GPT-3 kann revolutionär sein, aber wir müssen auch die Risiken und Nachteile berücksichtigen. Ein zentrales Thema ist der Datenschutz, da es schwierig sein kann, festzustellen, ob personenbezogene Daten für das Training des maschinellen Lernens verwendet wurden. Außerdem kann die Rechtmäßigkeit der Verwendung personenbezogener Daten zum Trainieren von maschinellen Lernmodellen wie GPT-3 je nach den Gesetzen und Vorschriften eines bestimmten Landes oder einer Region variieren.

ChatGPT ist in der Lage, Text zu erzeugen, der natürlicher Schrift ähnelt, und kann für eine Vielzahl von Aufgaben verwendet werden, darunter Sprachübersetzung, Texterzeugung für Chatbots und Sprachmodellierung. Es ist einer der größten und effektivsten verfügbaren KI-Sprachprozessoren mit 175 Milliarden Parametern.

 
Wurde ChatGPT im Umgang mit personenbezogenen Daten geschult?
ChatGPT ist ein umfangreiches Sprachmodell, das auf einer großen Menge an webbasierten Informationen beruht, wie z. B. einzelne Websites und Beiträge in sozialen Medien.

Als Anwalt würde ich darauf bestehen, dass persönliche Websites und Beiträge in sozialen Medien private Informationen enthalten. In der DSGVO heißt es nämlich, dass sich personenbezogene Daten auf eine identifizierbare lebende Person beziehen. Dazu gehören in vielen Fällen z.B. Informationen wie Name, Geburtsdatum, E-Mail-Adresse, Telefonnummer, Wohnanschrift, körperliche Merkmale oder Standortdaten. Darüber hinaus weist die DSGVO darauf hin, dass eine Person direkt oder indirekt anhand ihres Namens, einer eindeutigen Kennnummer, von Standortangaben, einer Online-Kennung oder anhand eines oder mehrerer spezifischer Elemente der physischen, psychologischen, erblichen, geistigen, finanziellen, ethnischen oder gesellschaftlichen Merkmale dieser Person erkannt werden kann.

Nur weil Informationen im Internet verfügbar sind, heißt das nicht, dass es sich nicht um personenbezogene Daten handelt. Wenn ChatGPT mit dieser Art von Daten trainiert wurde, dann wäre das System auf der Grundlage personenbezogener Daten trainiert worden. Dies könnte schwerwiegende Auswirkungen auf die Privatsphäre einer Person sowie potenzielle rechtliche Konsequenzen nach sich ziehen.

 
DSGVO-Problem 1: Datenerhebung
Es spricht vieles dafür, dass ChatGPT die DSGVO-Standards zur Datenerfassung nicht einhält, insbesondere im Hinblick auf den DSGVO-Grundsatz der Datenminimierung. Gemäß der DSGVO müssen personenbezogene Daten rechtmäßig, nach Treu und Glauben und in transparenter Weise erhoben und in Verbindung mit der betroffenen Person verwendet werden. Darüber hinaus besagt das Gebot der Datenminimierung, dass nur das absolute Minimum an Informationen erhoben und verarbeitet werden sollte.

In den Datenschutzrichtlinien von OpenAI heißt es, dass alle Daten verdeckt bleiben und nur für die im Vertrag genannten Zwecke verwendet werden. Es ist jedoch unklar, ob dies auch für Daten gilt, die in KI-Modellen wie ChatGPT gespeichert sind. Alexander Hanff, eines der EDPB-Mitglieder, bezweifelt, dass OpenAI Daten für die Nutzung von ChatGPT sammelt. Er glaubt, dass das Sammeln von Milliarden oder Billionen von Datenpunkten von Websites mit strengen Beschränkungen gegen das Scraping durch Dritte einen Vertragsbruch darstellt. Außerdem behauptet Hanff, dass ChatGPT ein kommerzielles Produkt ist, so dass eine faire Nutzung nicht in Frage kommt.

 
DSGVO​ Thema 2: Datensicherheit
Insbesondere ChatGPT und andere große KI-Modelle müssen vor Angriffen und Datenschutzverletzungen geschützt werden. Die DSGVO schreibt vor, dass angemessene technisch-organisatorische Maßnahmen getroffen werden müssen, um die Sicherheit und Vertraulichkeit von Kundendaten zu gewährleisten.

ChatGPT birgt potenzielle Sicherheitsgefahren wie Datendiebstahl, Spam- und Phishing-E-Mails und bösartige Software. Außerdem können Personen mit bösen Absichten den Code verändern und ihn für Cyberangriffe nutzen.

Die Datenschutzrichtlinie von ChatGPT wirft mehrere Zweifel an der Einhaltung der Allgemeinen Datenschutzverordnung (DSGVO) auf. Artikel 3 der Datenschutzrichtlinie besagt, dass OpenAI die persönlichen Daten eines Nutzers "unter bestimmten Umständen ohne weitere Ankündigung" an Dritte weitergeben kann, sofern das Gesetz nichts anderes vorschreibt. Diese Aussage könnte sich für ChatGPT als Hindernis bei der Einhaltung der DSGVO-Anforderungen für Datensicherheit und Datenschutz erweisen.
 
 
DSGVO Ausgabe 3: Fairness und Transparenz
Die DSGVO verlangt, dass KI-Systeme bei der Verrabeitung personenbezogener Daten die Grundsätze von Fairness und Transparenz einhalten.  Das bedeutet, dass die KI grundsätzlich sicherstellen muss, dass ihre Entscheidungen sowohl fair als auch in ihrer Begründung klar sind. Zudem müssen personenbezogene Daten Dennoch ist es unsicher, ob ChatGPT dieses Kriterium erfüllt.

Als ChatGPT zum ersten Mal auftauchte, gab es falsche Antworten, die einige Wissenschaftler als "Halluzination" bezeichnen. Besonders besorgniserregend waren gefälschte medizinische Ratschläge. Gefälschte Konten in sozialen Medien sind bereits ein Problem, und Bots wie ChatGPT können es noch schwieriger machen, sie zu erkennen. Außerdem könnten falsche Informationen in Umlauf gebracht werden, wenn ChatGPT selbst ungenaue Antworten überzeugend klingen lassen kann.

 
DSGVO-Problem 4: Richtigkeit und Betroffenrechte
Die DSGVO schreibt vor, dass peronenebezogene Daten sachlich richtig undauf dem neuesten Stand sind. Dazu gehören auch KI-Programme, die geprüft, getestet und überwacht werden müssen, um Richtigkeit der personenbezogenen Daten zu gewährleisten.

Darüber hinaus gelten Betroffenrechte wie das Recht auf Löschung, Art. 17 DSGVO.
Es ist nicht sicher, ob ChatGPT sich an die Standards von Artikel 17 der DSGVO hält. Dieser Artikel gewährt Personen grundsätzlich das Recht auf Vergessenwerden, was bedeutet, dass ihre personenbezogenen Daten auf ihren Wunsch hin aus dem Modell entfernt werden müssen. Dies wirft einige Probleme auf.. Ich habe dazu einen ausführlichen Artikel geschrieben.

 
DSGVO Punkt 5: Rechenschaftspflicht
Nach der DSGVO müssen Organisationen nachweisen können, dass sie geeignete Maßnahmen zum Schutz personenbezogener Daten von Betroffenen ergriffen haben. Dies gilt grundsätzlich auch bei KI-Systemen. Sie müssen in der Lage sein, auf Anfrage nachzuweisen, dass diese Maßnahmen wirksam gewesen sind.

Die Verwendung von ChatGPT hat eine Reihe von Fragen zur Verantwortlichkeit aufgeworfen, wenn es um falsche Antworten in Bezug auf personenbezogene Daten von betroffenen Personen geht.

Die Verantwortung für den Datenschutz wird den Nutzern auferlegt, nicht OpenAI. Dies ist besorgniserregend, da ChatGPT falsche Antworten generieren kann, , was zur Verbreitung falscher Informationen und Online-Missbrauch führt. Außerdem wählen die OpenAI-Forscher und -Entwickler die Daten aus, die zur Erstellung von ChatGPT verwendet werden, und Vorurteile in den Daten könnten sich negativ auf die Ergebnisse des Modells auswirken.

 
Schlussfolgerung
OpenAI muss eindeutig eine größere Verantwortung für die Gewährleistung der Präzision der ChatGPT-Antworten und der Daten, die zum Trainieren des Modells verwendet werden, übernehmen, oder es muss mit den harten rechtlichen Folgen der Nichteinhaltung der DSGVO rechnen. Um die größtmögliche Achtung der Datenschutzrechte zu gewährleisten, muss OpenAI außerdem den Nutzern unmissverständlich und proaktiv ihre Verantwortung beim Betrieb des ChatGPT-Systems erklären.