Die Datenschutzorganisation Noyb, bekannt durch Max Schrems, hat zusammen mit einem betroffenen EU-Bürger eine Beschwerde gegen OpenAI wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) eingereicht. Unsere Expert:innen Mareike Christine Gehrmann, Fritz-Ulli Pieper und Dr. Benedikt Kohn beantworten hierzu erste Fragen.

Was genau wird OpenAI vorgeworfen?

• OpenAI wird vorgeworfen, dass der KI-Chatbot „ChatGPT“ falsche Informationen über Einzelpersonen generiert („halluziniert“) und OpenAI diese falschen Informationen nicht korrigieren kann. 
• Konkret geht es darum, dass ChatGPT einem unbekannten Beschwerdeführer ein falsches Geburtsdatum zugeschrieben hat und nach Angaben von OpenAI dies nicht berichtigt werden kann. 
• Ferner wird OpenAI vorgeworfen, nicht hinreichend darüber Auskunft zu geben, welche Daten sie über Betroffene speichern und aus welchen Quellen die Daten stammen. OpenAI werden Verletzungen gegen Art. 15 und 16 DSGVO vorgeworfen, also eine nicht hinreichende Einhaltung der Betroffenenrechte.

Welche Konsequenzen drohen?

• Die DSGVO sieht jeweils Bußgelder bis zu 4 % des weltweiten Vorjahresumsatzes der Unternehmensgruppe vor, wenn der für die Datenverarbeitung Verantwortliche über Daten Betroffener keine hinreichende Auskunft geben kann oder falsche Daten von Betroffenen nicht berichtigt werden können. Für ein Unternehmen wie OpenAI könnte die Verhängung eines Bußgeldes also erhebliche finanzielle Auswirkungen haben. 
• Die Datenschutzbehörden können zusätzliche Maßnahmen anweisen, z.B. die Implementierung von Schutzmaßnahmen anordnen oder die Nutzung von ChatGPT (zeitlich befristet) untersagen. 
• Betroffene könnten zudem unter bestimmten Umständen Schadensersatz geltend machen.

Was bedeutet das für andere KI-Anbieter?

Dieser Fall zeigt, dass KI-Modelle, insbesondere Allzweck-KI, sorgfältig auf ihre Datenschutzkonformität geprüft werden müssen. Andere KI-Anbieter sollten die Entwicklung verfolgen und zugleich ihre eigenen KI-Modelle auf Datenschutzkonformität prüfen. Dies umso mehr, als deutsche Datenschutzbehörden derzeit ebenfalls verstärkt auf die Einhaltung datenschutzrechtlicher Rahmenbedingungen beim Einsatz von KI drängen. Allerdings wird die hundertprozentige Einhaltung der Betroffenenrechte (wie Löschung, Auskunft, Berichtigung oder Sperrung von Daten) immer eine Herausforderung bleiben. Denn hat eine KI mit personenbezogenen Daten trainiert oder wurden solche im Betrieb eingegeben, ist es schwer, die zugrunde liegende Technik zu „korrigieren“. Es ist deshalb umso wichtiger, bereits beim Training und bei Nutzung der KI, auf den Datenschutz zu achten.