Gegen OpenAI gibt es eine Datenschutzbeschwerde nach EU-Recht. Sie wurde von der Organisation Noyb im Namen eines einzelnen Beschwerdeführers in Österreich eingereicht und richtet sich gegen die Unfähigkeit des KI-Chatbots ChatGPT, falsche Informationen über Personen zu korrigieren.
Dass generative KI-Tools wie ChatGPT halluzinieren, also schlicht Dinge erfinden, ist bekannt. Geht es dabei um personenbezogene Daten, kann dies mit Bezug auf die Datenschutz-Grundverordnung (DSGVO) ein Problem sein.
Dass persönliche Daten korrekt sein müssen, sei seit den 1990er-Jahren im EU-Recht verankert, schreibt Noyb. Mit der DSGVO haben Personen ausserdem das Recht erhalten, die Berichtigung inkorrekter Informationen zu verlangen. EU-Bürgerinnen und -Bürger können zudem von einem Auskunftsrecht Gebrauch machen: Ein Unternehmen muss erklären können, welche Daten es über Einzelpersonen gespeichert hat und aus welchen Quellen sie stammen. Zudem haben sie die Möglichkeit, die Löschung ihrer personenbezogenen Daten zu verlangen.
Korrektur "technisch nicht möglich"
Beim Beschwerdeführer handle es sich um eine Person des öffentlichen Lebens, wie es in der Mitteilung von Noyb heisst. Auf die Frage nach seinem Geburtstag habe ChatGPT wiederholt mit falschen Informationen geantwortet, anstatt mitzuteilen, dass die dafür notwendigen Daten fehlen.
Gemäss der Mitteilung der österreichischen Datenschutzorganisation hat OpenAI das Ersuchen des Beschwerdeführers, das falsche Geburtsdatum zu berichtigen, abgelehnt. Begründet wurde dies demnach damit, dass es technisch nicht möglich sei. Ausserdem habe das KI-Unternehmen es versäumt, die verarbeiteten Daten und deren Quellen offenzulegen.
"Die Verpflichtung, einem Auskunftsersuchen nachzukommen, gilt für alle Unternehmen. Es ist selbstverständlich möglich, die verwendeten Trainingsdaten zu protokollieren, um zumindest eine Vorstellung von den Informationsquellen zu erhalten. Es scheint, dass mit jeder 'Innovation' eine andere Gruppe von Unternehmen meint, dass ihre Produkte nicht mit dem Gesetz übereinstimmen müssen", sagt Maartje de Graaf, Datenschutzjuristin bei Noyb.
In der Datenschutzrichtlinie von OpenAI heisst es, Nutzer könnten eine Korrekturanfrage per E-Mail schicken, wenn sie feststellen, dass der KI-Chatbot sachlich falsche Informationen über sie generiert. "Aufgrund der technischen Komplexität unserer Modelle sind wir möglicherweise nicht in der Lage, die Ungenauigkeit in jedem Fall zu korrigieren", heisst es dort weiter.
Man könne zwar Daten bei bestimmten Anfragen blockieren, etwa den Namen des Beschwerdeführers, aber nicht ohne ChatGPT daran zu hindern, alle Informationen über den Beschwerdeführer zu filtern, so die Rückmeldung im österreichischen Fall.
Beschwerde in Polen, Untersuchung in Italien
OpenAI sehe sich mit einer sehr ähnlichen Beschwerde in Polen konfrontiert, berichtet 'The Verge'. Vergangenen September leitet die dortige Datenschutzbehörde eine Untersuchung ein, nachdem sich ein Sicherheitsforscher beschwert hatte, dass er nicht in der Lage war, falsche Informationen über ihn von OpenAI korrigieren zu lassen. In dieser Beschwerde wird dem KI-Riesen auch vorgeworfen, die Transparenzanforderungen der Verordnung nicht zu erfüllen.
Auch in Italien läuft eine Untersuchung gegen OpenAI. Im Januar hat die italienische Datenschutzbehörde einen Entscheidungsentwurf vorgelegt, in dem sie feststellte, dass OpenAI ihrer Ansicht
nach in mehrfacher Hinsicht gegen die DSGVO verstossen habe. Dies beinhaltet die Tendenz des Chatbots, Fehlinformationen über Menschen zu produzieren. Die endgültige Entscheidung der Behörde steht noch aus.