Datenschutzrechtliche Prüfung von ChatGPT geht weiter: Landesdatenschutzbeauftragter stellt zusätzliche Fragen an OpenAI

Veröffentlicht am:

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 26.10.2023

Als Leiter der Taskforce „Künstliche Intelligenz“ hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Prof. Dr. Dieter Kugelmann die Erstellung eines neuen Fragebogens zu dem KI-Sprachmodell ChatGPT koordiniert und den Fragebogen an OpenAI, den Betreiber des Dienstes, versandt. Der Fragenkatalog mit 79 Einzelfragen knüpft an ein erstes Auskunftsersuchen an, das der LfDI Rheinland-Pfalz innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitet und im April zusammen mit weiteren deutschen Datenschutzaufsichtsbehörden an das US-amerikanische Unternehmen gerichtet hatte.

„OpenAI hat unseren ersten Fragebogen kooperativ und umfangreich beantwortet“, betont Dieter Kugelmann. Die Analyse der Informationen innerhalb der Taskforce KI habe jedoch gezeigt, dass erheblicher Bedarf für Nachfragen bestehe. „Ich habe als Landesdatenschutzbeauftragter die Aufgabe, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung zu schützen. Um zu bewerten, ob die Regelungen der Datenschutz-Grundverordnung bei der Datenverarbeitung durch ChatGPT eingehalten werden, muss sichtbar sein, was hinter der Oberfläche der App vor sich geht. Ich bestehe darauf, dass Künstliche Intelligenz nachvollziehbar und erklärbar sein muss. Nur so kann sie kontrolliert und an den berechtigten Normen und Werten unserer Gesellschaft gemessen werden. Deshalb setzen wir erheblichen Aufwand für die Prüfung von ChatGPT ein und fördern mit unseren neuerlichen Fragen noch mehr Transparenz“, so Kugelmann weiter.

Die nun gestellten Fragen dienen der vertieften Prüfung, ob die Verarbeitung personenbezogener Daten in ChatGPT rechtmäßig erfolgt. Insbesondere stehen die besonderen Datenkategorien nach Art. 9 DS-GVO im Fokus, also jene Daten, die speziellen Schutz genießen und beispielsweise Angaben zur Religion, zur Gesundheit oder zur sexuellen Orientierung betreffen. Auch die Verwirklichung der Rechte betroffener Personen auf Auskunft sowie Berichtigung und Löschung personenbezogener Daten wird kritisch beleuchtet. Nicht zuletzt soll geklärt werden, ob und in welcher Weise personenbezogene Daten beim Training und bei der Nutzung von ChatGPT zuverlässig als solche erkannt und aussortiert werden oder wie eine datenschutzkonforme Verarbeitung anderweitig sichergestellt werden soll.

Das US-amerikanische Unternehmen OpenAI hat keine Niederlassung in der EU, weshalb alle europäischen Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung der Datenschutz-Grundverordnung zuständig sind. Eine sich abzeichnende Niederlassung von OpenAI in Irland würde das Prüfungsverfahren des LfDI nicht beenden, da sich die datenschutzrechtliche Bewertung auf den gegenwärtigen und den vergangenen Zustand bezieht. Auch hinsichtlich des zukünftigen Zustands bleiben die deutschen Aufsichtsbehörden zuständig, soweit ChatGPT in Deutschland angeboten wird. Die Zuständigkeit würde dann jedoch in Kooperation mit der Aufsichtsbehörde am Ort der Hauptniederlassung in der EU ausgeübt. Dies könnte in Zukunft die irische Data Protection Commission sein.

Der Fragebogen wurde unter Leitung des LfDI Rheinland-Pfalz innerhalb der Datenschutzkonferenz abgestimmt und von mehreren deutschen Datenschutzaufsichtsbehörden versendet. Auf EU-Ebene ist der LfDI in einer weiteren Taskforce des Europäischen Datenschutzausschusses am Umgang mit OpenAI beteiligt.