Die italienische Datenschutz-Aufsichtsbehörde, die Garante per la protezione dei dati personali (GPDP), hat ChatGPT vorläufig verboten. Was sind die Gründe für das Verbot?
In ihrer Verfügung vom 30. März 2023 verweist die Garante auf die europäische Datenschutz-Grundverordnung (DSGVO) und nennt vier Gründe für das Verbot.
Vier Gründe für das Verbot von ChatGPT in Italien
Grund 1: Verletzung der Informationspflicht
Gemäss Art. 13 und 14 DSGVO müssen betroffene Personen direkt oder nachträglich über die Erhebung ihrer personenbezogenen Daten informiert werden.
Die Garante schreibt, dass «weder den Benutzern noch den betroffenen Personen, deren Daten von OpenAI, L.L.C. gesammelt und über den ChatGPT-Dienst verarbeitet wurden, Informationen zur Verfügung gestellt» würden.
Die Garante zielt damit in erster Linie auf die Trainingsdaten. OpenAI und andere Unternehmen grasen das Internet ab, um Daten für das Training ihrer Large Language Models (LLM) zu sammeln. Solche Daten umfassen immer auch personenbezogene Daten.
Die Datenschutzerklärung von OpenAI wirkt auf den ersten Blick ordentlich. So verfügt OpenAI unter anderem über die erforderliche EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO.
Personen hingegen, deren Daten für das Training der «künstlichen Intelligenz» gesammelt werden, erhalten keine Information über die Beschaffung ihrer Daten. Die Informationspflicht gilt allerdings nicht absolut (Art. 14 Abs. 5 DSGVO).
Grund 2: Fehlende Rechtmässigkeit der Verarbeitung
Gemäss Art. 6 DSGVO muss jede Verarbeitung personenbezogener Daten ausdrücklich gerechtfertigt werden.
Die Garante schreibt, dass «es keine geeignete Rechtsgrundlage für die Erhebung personenbezogener Daten und deren Verarbeitung zum Zwecke des Trainings der dem Betrieb von ChatGPT zugrunde liegenden Algorithmen» gebe.
Nutzer von ChatGPT und anderen OpenAI-Angeboten können ihre Einwilligung erteilen (Art. 6 Abs. 1 lit. a DSGVO) oder einen Vertrag abschliessen (Art. 6 Abs. 1 lit. b DSGVO).
Personen hingegen, deren Daten für das Training der «künstlichen Intelligenz» gesammelt werden, können nicht gefragt werden. Sie haben ihre Daten normalerweise nicht veröffentlicht, damit diese für ein Angebot wie ChatGPT verwertet werden. Insofern bleibt nur noch der Rechtfertigungsgrund des überwiegenden berechtigten Interesses gemäss Art. 6 Abs. 1 lit. f DSGVO):
«[D]ie Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.»
Europäische Datenschutz-Aufsichtsbehörden sind notorisch restriktiv bei einer Interessenabwägung zu Gunsten der Verantwortlichen.
Grund 3: Fehlende Richtigkeit der Daten
Gemäss Art. 5 Abs. 1 lit. d DSGVO müssen personenbezogene Daten «sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein» und es «sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‹Richtigkeit›)».
Die Garante schreibt, dass «die Verarbeitung personenbezogener Daten der betroffenen Personen insofern ungenau ist, als die von ChatGPT bereitgestellten Informationen nicht immer mit den tatsächlichen Daten übereinstimmen.»
Die Informationen, die ChatGPT ausspuckt, sind tatsächlich häufig falsch oder frei erfunden. Kann sich OpenAI allein mit Disclaimern aus der Verantwortung nehmen?
Grund 4: Fehlende Altersprüfung
Gemäss Art. 8 DSGVO ist eine Altersprüfung erforderlich, wenn Kinder direkt mit einem Angebot angesprochen werden und ihre Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO erteilen sollen. Bei Kindern unter 16 Jahren ist die «Einwilligung durch den Träger der elterlichen Gewalt» erforderlich (Abs. 1).
Die Garante schreibt zutreffend, dass eine OpenAI in den eigenen Nutzungsbedingungen für ChatGPT eine Altersgrenze von 13 Jahren setzt, ohne aber das Alter zu prüfen.
Die Garante schreibt insbesondere, dass «das Fehlen von Filtern für Kinder unter 13 Jahren dazu führt, dass sie Antworten erhalten, die in Bezug auf ihren Entwicklungsstand und ihr Selbstbewusstsein völlig ungeeignet» seien.
Rechtsberatung: ChatGPT rät von Verwendung von GPT-4 ab
Ergebnis: Verletzung von Art. 5, 6, 8, 13 und 25 DSGVO
Alles in allem gelangt die Garante zum Ergebnis, dass «die Verarbeitung der personenbezogenen Daten der Nutzer, einschließlich der Minderjährigen, und derjenigen, deren Daten von dem Dienst verwendet werden, unter den oben beschriebenen Umständen gegen die Artikel 5, 6, 8, 13 und 25 der Verordnung verstößt».
Art. 25 DSGVO betrifft den «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen». Die Garante nennt einen Verstoss gegen die entsprechenden Pflichten allerdings nicht ausdrücklich als (fünften) Verbotsgrund.
Das vorläufige Verbot auf Grundlage von Art. 58 Abs. 2 lit. f DSGVO ist auf Personen mit Wohnsitz in Italien beschränkt. Wie Heise Online schreibt, hat OpenAI bereits reagiert:
«OpenAI ist der Aufforderung bereits nachgekommen und hat den Länderzugang Italiens zu ChatGPT gesperrt. Betroffene Nutzer erhalten zu viel bezahlte Beiträge für ChatGPT Plus zurückerstattet, und die Abbuchung von Folgelastschriften werde pausiert […].»
Gemäss dem deutschen Bundesdatenschutzbeauftragten Ulrich Kelber wäre ein Verbot von ChatGPT auch in Deutschland denkbar. Die Zuständigkeit läge bei den Datenschutz-Aufsichtsbehörden in den einzelnen Bundesländern.
In der Schweiz verfügt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) gemäss dem geltenden Datenschutzgesetz über keine entsprechenden Kompetenzen. Mit dem neuen Datenschutzgesetz (nDSG) wäre ab dem 1. September 2023 ein Verbot durch den EDÖB möglich. Das nDSG ist allerdings kein Klon der DSGVO, weshalb nicht ohne Weiteres von Gründen für ein Verbot auszugehen ist.
Das Verbot wirft datenschutzrechtliche Fragen auf, wie allein schon ein Blick auf Suchmaschinen zeigt: Was die Garante nun OpenAI vorwirft, gilt mindestens teilweise für die Suchmaschinen von Google und anderen Anbietern. Im Idealfall leistet das italienische Verbot einen Beitrag zur Klärung solcher Fragen.
Hinweis: Die Verfügung der Garante wurde mit DeepL Pro aus dem Italienischen übersetzt.
Bild: Pixabay / ulleo, Public Domain-ähnlich.