Die DSGVO der EU verlangt von Unternehmen, dass Informationen über Personen korrekt sind. Betroffene müssen zudem vollen Zugang zu ebendiesen Informationen und zu ihrer Quelle erhalten. OpenAI scheint das egal zu sein: Das Unternehmen gibt offen zu, falsche Informationen auf ChatGPT nicht korrigieren zu können. Das Unternehmen weiß nicht einmal, woher die Daten stammen oder welche Daten ChatGPT über einzelne Personen speichert. OpenAI ist sich dieses Problems bewusst. Anstatt etwas zu verändern, argumentiert das Unternehmen jedoch einfach, dass „faktische Genauigkeit in großen Sprachmodellen ein Bereich aktiver Forschung bleibt“. noyb hat nun eine Beschwerde gegen OpenAI eingereicht.
ChatGPT halluziniert, und nicht mal OpenAI kann es stoppen. Die Einführung von ChatGPT im November 2022 löste einen noch nie dagewesenen KI-Hype aus. Menschen auf der ganzen Welt begannen auf einmal damit, den Chatbot für die unterschiedlichsten Zwecke zu nutzen. Darunter sogar Rechercheaufgaben. Dabei hält OpenAI selbst fest, dass der Chatbot „Antworten auf Benutzeranfragen generiert, indem es die nächstwahrscheinlichsten Wörter vorhersagt, die als Antwort auf die jeweilige Frage vorkommen könnten“. In anderen Worten: Obwohl das Unternehmen über umfangreiche Trainingsdaten verfügt, kann es aktuell nicht garantieren, dass Nutzer:innen korrekte Informationen erhalten. Ganz im Gegenteil sind generative KI-Tools dafür bekannt zu „halluzinieren“. Sie erfinden ihre Antworten also schlicht.
Für Hausaufgaben in Ordnung, aber nicht für Informationen über Menschen. Ungenaue Informationen sind vielleicht tolerabel, wenn Schüler:innen ChatGPT für ihre Hausaufgaben nutzen. Sie sind jedoch inakzeptabel, wenn es um die Informationen über Einelpersonen geht. Seit 1995 besagt das EU-Recht, dass persönliche Daten korrekt sein müssen. Mittlerweile ist dies in Artikel 5 DSGVO verankert. Personen haben laut Artikel 16 DSGVO außerdem ein Recht auf Berichtigung inkorrekter Informationen – und haben die Möglichkeit, ihre Löschung zu verlangen. Darüber hinaus müssen Unternehmen gemäß dem Auskunftsrecht in Artikel 15 nachweisen können, welche Daten sie über Einzelpersonen gespeichert haben und aus welchen Quellen sie stammen.
Maartje de Graaf, Datenschutzjuristin bei noyb: „Das Erfinden falscher Informationen ist schon für sich genommen höchst problematisch. Aber wenn es um falsche Informationen über Personen geht, kann das ernsthafte Konsequenzen haben. Es ist klar, dass Unternehmen derzeit nicht in der Lage sind, Chatbots wie ChatGPT mit dem EU-Recht in Einklang zu bringen. Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt.“
Das Erfinden von Personendaten ist keine valide Option. Es handelt sich hier eindeutig um ein strukturelles Problem. Einem kürzlich erschienenen Bericht der New York Times zufolge „erfinden Chatbots in mindestens 3 Prozent der Fälle Informationen“. In manchen Fällen sollen es sogar bis zu 27 Prozent sein. Um dieses Problem zu veranschaulichen, können wir einen Blick auf den Beschwerdeführer (eine Person des öffentlichen Lebens) in unserem Fall gegen OpenAI werfen. Auf die Frage nach seinem Geburtstag antwortete ChatGPT wiederholt mit falschen Informationen, anstatt den Nutzer:innen mitzuteilen, dass die dafür notwendigen Daten fehlen.
Keine DSGVO-Rechte für von ChatGPT erfasste Personen? Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch ist, lehnte OpenAI seinen Antrag auf Berichtigung oder Löschung ab. Die Verweigerung wurde damit argumentiert, dass eine Korrektur der Daten nicht möglich sei. Man könne zwar Daten bei bestimmten Anfragen blockieren (z.B. den Namen des Beschwerdeführers), aber nicht ohne ChatGPT daran zu hindern, alle Informationen über den Beschwerdeführer zu filtern. OpenAI hat es außerdem versäumt, angemessen auf das Auskunftsersuchen des Beschwerdeführers zu reagieren. Obwohl die DSGVO den Nutzer:innen das Recht einräumt, eine Kopie aller persönlichen Daten zu verlangen, hat es OpenAI versäumt die verarbeiteten Daten, ihre Quellen oder Empfänger offenzulegen.
Maartje de Graaf, Datenschutzjuristin bei noyb: „Die Verpflichtung, einem Auskunftsersuchen nachzukommen, gilt für alle Unternehmen. Es ist selbstverständlich möglich, die verwendeten Trainingsdaten zu protokollieren, um zumindest eine Vorstellung von den Informationsquellen zu erhalten. Es scheint, dass mit jeder ‚Innovation‘ eine andere Gruppe von Unternehmen meint, dass ihre Produkte nicht mit dem Gesetz übereinstimmen müssen.“
Bislang erfolglose Bemühungen der Aufsichtsbehörden. Die plötzliche Zunahme der Popularität hat generative KI-Tools rasch zum Ziel der europäischen Datenschutzbehörden gemacht. Unter anderem befasste sich die italienische Datenschutzbehörde mit der Ungenauigkeit des Chatbots, als sie im März 2023 eine vorübergehende Einschränkung der Datenverarbeitung anordnete. Einige Wochen später richtete der Europäische Datenschutzausschuss (EDSA) eine Taskforce zu ChatGPT ein, um die nationalen Bemühungen zu koordinieren. Es bleibt abzuwarten, wohin dies führen wird. Im Moment scheint OpenAI nicht einmal so zu tun, als könne es die DSGVO einhalten.
Beschwerde eingereicht. noyb fordert die österreichische Datenschutzbehörde (DSB) nun zu einer Untersuchung der Datenverarbeitungspraktiken von OpenAI auf. Von besonderem Interesse ist dabei die Frage, welche Maßnahmen das Unternehmen zur Sicherstellung der Richtigkeit persönlicher Daten getroffen hat. Darüber hinaus fordert noyb, dass OpenAI dem Auskunftsbegehren des Beschwerdeführers nachkommt und seine Verarbeitung in Einklang mit der DSGVO bringt. Nicht zuletzt fordert noyb die Behörde zur Verhängung eines Bußgelds auf, um die zukünftige Einhaltung der Vorschriften sicherzustellen. Es ist davon auszugehen, dass dieser Fall im Rahmen der EU-Zusammenarbeit behandelt wird.