Künst­li­che Intel­li­genz (KI) vs. Datenschutz

Sind ChatGPT und Co. unver­ein­bar mit der DSGVO?

KI-Anwendungen wie ChatGPT sind der­zeit sehr beliebt, aber daten­schutz­recht­li­che Beden­ken haben zu einem Ver­bot in Ita­li­en geführt. Auch deut­sche Daten­schutz­auf­sichts­be­hör­den haben Unter­su­chun­gen ein­ge­lei­tet. Sind KI-Anwendungen und Daten­schutz vereinbar?

Auf­grund daten­schutz­recht­li­cher Beden­ken hat die ita­lie­ni­sche Daten­schutz­auf­sichts­be­hör­de kürz­lich ein lan­des­wei­tes Ver­bot der KI-Anwendung ChatGPT aus­ge­spro­chen. Die deut­schen Daten­schutz­auf­sichts­be­hör­den haben inzwi­schen ein Prüf­ver­fah­ren ein­ge­lei­tet und einen Fra­ge­bo­gen an Ope­nAI geschickt. Inzwi­schen hat die ita­lie­ni­sche Daten­schutz­auf­sichts­be­hör­de das Ver­bot wie­der auf­ge­ho­ben und auch in Deutsch­land schei­nen der­ar­ti­ge Maß­nah­men vor­erst vom Tisch zu sein. Es zeich­net sich ein grund­sätz­li­ches Span­nungs­ver­hält­nis zwi­schen KI und Daten­schutz ab.

ChatGPT und Co. – grund­sätz­li­che Beden­ken beim Datenschutz?

Die Beden­ken der Daten­schutz­auf­sichts­be­hör­den bezie­hen sich ins­be­son­de­re dar­auf, ob die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bei ChatGPT mit den Grund­prin­zi­pi­en der DSGVO ver­ein­bar ist, auf einer gül­ti­gen Rechts­grund­la­ge beruht und die betrof­fe­nen Per­so­nen aus­rei­chend infor­miert wer­den. Die Beden­ken der Behör­den sind nicht neu und auf ande­re KI-Lösungen, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, über­trag­bar. Bei nähe­rer Betrach­tung wird schnell deut­lich, dass bei einer zu stren­gen Aus­le­gung der DSGVO erheb­li­che daten­schutz­recht­li­che Her­aus­for­de­run­gen beim Ein­satz von KI bestehen:

1. Rich­tig­keit der Daten­ver­ar­bei­tung
   Falsch­in­for­ma­tio­nen kön­nen für Betrof­fe­ne schwer­wie­gen­de Nach­tei­le haben. Die DSGVO ver­langt daher grund­sätz­lich, dass nur sach­lich rich­ti­ge per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Unrich­ti­ge per­so­nen­be­zo­ge­ne Daten sind unver­züg­lich zu löschen oder zu berich­ti­gen. Wer­den Sys­te­me wie ChatGPT jedoch auf­ge­for­dert, Anga­ben zu kon­kre­ten Per­so­nen zu machen, fügt die KI nach der­zei­ti­gem Stand häu­fig unrich­ti­ge Infor­ma­tio­nen hin­zu. Die­se auch als „Hal­lu­zi­na­ti­on“ bezeich­ne­te Eigen­schaft kol­li­diert folg­lich mit dem Grund­satz der Rich­tig­keit der Ver­ar­bei­tung. Wer­den unrich­ti­ge Daten ver­ar­bei­tet, steht den Betrof­fe­nen nach der DSGVO zudem ein Recht auf Berich­ti­gung zu.
2. Rechts­grund­la­ge – Ver­bot mit Erlaub­nis­vor­be­halt
   Nach der DSGVO ist für jede Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten eine Rechts­grund­la­ge erfor­der­lich. Beim Trai­ning von KI-Systemen stellt sich des­halb regel­mä­ßig die Fra­ge, ob per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den dür­fen. Denn für das Anler­nen wer­den KI-Systeme mit einer Viel­zahl von im Netz öffent­lich ver­füg­ba­ren Infor­ma­tio­nen wie Web­sei­ten, Publi­ka­tio­nen oder Fach­ar­ti­keln „gefüt­tert“ – ein­schließ­lich der dar­in ent­hal­te­nen per­so­nen­be­zo­ge­nen Daten. Nach § 44 b Abs. 1 Urhe­ber­rechts­ge­setz ist Text und Data Mining aus­drück­lich erlaubt. Als Rechts­grund­la­ge für die Ver­ar­bei­tung kommt – man­gels Ein­wil­li­gung der Betrof­fe­nen – den­noch nur ein berech­tig­tes Inter­es­se in Betracht. Ob das Inter­es­se des Ver­ant­wort­li­chen im Rah­men einer Abwä­gung das Inter­es­se der Betrof­fe­nen über­wiegt, ist im Ein­zel­fall zu prü­fen und von den Daten­schutz­auf­sichts­be­hör­den und Gerich­ten bis­her nicht abschlie­ßend bewer­tet worden.
3. Trans­pa­ren­te Daten­schutz­in­for­ma­ti­on
   Wer per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, ist nach der DSGVO ver­pflich­tet, die Daten­ver­ar­bei­tung für den Betrof­fe­nen trans­pa­rent zu machen und ihn ent­spre­chend zu infor­mie­ren. Die Infor­ma­ti­ons­pflicht gilt sowohl für die direk­te Erhe­bung per­so­nen­be­zo­ge­ner Daten beim Betrof­fe­nen (Art. 13 DSGVO) als auch für den Fall, dass per­so­nen­be­zo­ge­ne Daten bei Drit­ten erho­ben wer­den (Art. 14 DSGVO). Die Infor­ma­ti­on muss trans­pa­rent und ver­ständ­lich sein und in einer kla­ren und ein­fa­chen Spra­che erfol­gen. Für KI-Lösungen wie ChatGPT erge­ben sich in die­ser Hin­sicht meh­re­re Her­aus­for­de­run­gen: Zum einen ist der Ein­satz von KI tech­nisch anspruchs­voll und eine trans­pa­ren­te und leicht ver­ständ­li­che Infor­ma­ti­on schon des­halb eine Her­aus­for­de­rung. Zum ande­ren müs­sen grund­sätz­lich auch die Betrof­fe­nen infor­miert wer­den, deren Daten für das Trai­ning des Sys­tems ver­wen­det wer­den und die mög­li­cher­wei­se gar nicht mit dem Sys­tem inter­agie­ren. Nach Gesprä­chen mit der ita­lie­ni­schen Daten­schutz­auf­sichts­be­hör­de infor­miert Ope­nAI deut­lich umfang­rei­cher über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und die Funk­ti­ons­wei­se von ChatGPT.

Daten­schutz­kon­for­me KI

Es besteht ein Kon­flikt­po­ten­zi­al zwi­schen dem Daten­schutz­recht und dem „Wesen“ von KI-Systemen – denn gera­de auf der umfas­sen­den Ver­ar­bei­tung von (per­so­nen­be­zo­ge­nen) Daten beruht die viel­be­schwo­re­ne „Intel­li­genz“ der KI. Klar ist aber auch: Wenn Euro­pa bei der Ent­wick­lung von KI-Systemen nicht voll­ends den Anschluss ver­lie­ren will, ist ein dau­er­haf­tes Ver­bot von KI-Systemen weder rea­lis­tisch noch sinn­voll. Um Kon­flik­te beim Ein­satz von KI-Systemen zu lösen, ist eine technologie- und inno­va­ti­ons­freund­li­che Aus­le­gung der DSGVO erfor­der­lich. Sol­len KI-Systeme in Unter­neh­men ein­ge­setzt wer­den, emp­fiehlt sich im Ein­zel­fall die Durch­füh­rung einer Datenschutz-Folgenabschätzung (DSFA). Wer­den die kon­kre­ten Risi­ken eines KI-Einsatzes sowie geeig­ne­te Abhil­fe­maß­nah­men umfas­send doku­men­tiert, lässt sich ein daten­schutz­kon­for­mer Ein­satz nach unse­ren Erfah­run­gen gut begründen.