Die DSGVO der EU verlangt von Unternehmen, dass Informationen über Personen korrekt sind. Betroffene müssen zudem vollen Zugang zu ebendiesen Informationen und zu ihrer Quelle erhalten. OpenAI scheint das egal zu sein: Das Unternehmen gibt offen zu, falsche Informationen auf ChatGPT nicht korrigieren zu können. Das Unternehmen weiß nicht einmal, woher die Daten stammen oder welche Daten ChatGPT über einzelne Personen speichert. OpenAI ist sich dieses Problems bewusst. Anstatt etwas zu verändern, argumentiert OpenAI jedoch, dass „faktische Genauigkeit in großen Sprachmodellen ein Bereich aktiver Forschung bleibt“. Die Datenschutz-Organisation noyb hat nun eine Beschwerde gegen OpenAI eingereicht.

ChatGPT halluziniert, und nicht mal OpenAI könne es stoppen, so die österreichische Datenschutz-Organisation noyb rund um den Gründer Max Schrems. Die Einführung von ChatGPT im November 2022 löste einen noch nie dagewesenen KI-Hype aus. Menschen auf der ganzen Welt begannen auf einmal damit, den Chatbot für die unterschiedlichsten Zwecke zu nutzen. Darunter sogar Rechercheaufgaben. Dabei halte OpenAI selbst fest, dass der Chatbot „Antworten auf Benutzeranfragen generiert, indem es die nächstwahrscheinlichsten Wörter vorhersagt, die als Antwort auf die jeweilige Frage vorkommen könnten“, so noyb. Mit anderen Worten: Obwohl das Unternehmen über umfangreiche Trainingsdaten verfügt, kann es aktuell nicht garantieren, dass Nutzer korrekte Informationen erhalten. Ganz im Gegenteil seien generative KI-Tools dafür bekannt zu „halluzinieren“, so noyb. Sie erfinden ihre Antworten also schlicht.

Ungenaue Informationen sind vielleicht tolerabel, wenn Schüler ChatGPT für ihre Hausaufgaben nutzen. Sie sind jedoch inakzeptabel, wenn es um die Informationen über Einzelpersonen geht. Seit 1995 besagt das EU-Recht, dass persönliche Daten korrekt sein müssen. Mittlerweile ist dies in Artikel 5 der Datenschutzgrundverordnung (DSGVO) verankert. Personen haben laut Artikel 16 DSGVO außerdem ein Recht auf Berichtigung inkorrekter Informationen – und haben die Möglichkeit, ihre Löschung zu verlangen. Darüber hinaus müssen Unternehmen gemäß dem Auskunftsrecht in Artikel 15 nachweisen können, welche Daten sie über Einzelpersonen gespeichert haben und aus welchen Quellen sie stammen.

Sind Sie vom Facebook oder Deezer-Datenleck betroffen? Jetzt checken und nicht die Chance auf Schadensersatz verpassen

Wir vertreten bereits zehntausende Betroffene im Fall des Facebook-Datenlecks und des Deezer-Datenlecks. Ihre Chancen auf bis zu 1000 Euro Schadensersatz wurden mit diesem EuGH-Urteil erneut gestärkt. Wer jetzt noch seinen Anspruch auf DSGVO-Schadensersatz in Sachen Facebook-Datenleck geltend machen möchte, sollte sich beeilen: Denn es droht Verjährung!

Facebook-Datenleck – jetzt prüfen

Jetzt Handynummer eingeben und sofort zeigt der Checker Ihnen an, ob Sie betroffen sind:

Bitte geben Sie Ihre Mobilnummer im Internationalen Format an, beginnend mit +49, ohne Bindestriche und ohne Leerzeichen.

Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.

Deezer-Datenleck – jetzt prüfen

Einfach Mail-Adresse eingeben und sofort herausfinden, ob Sie einer von 14 Millionen deutschen Betroffenen sind.

Bitte geben Sie Ihre E-Mail-Adresse an.

Hinweis: Wir verwenden deine E-Mail Adresse zur Überprüfung, ob du von dem Deezer-Datenleak betroffen bist. Der Abgleich deiner E-Mail Adresse erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine E-Mail Adresse bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.

Keine Sorge: Direkt nach der Eingabe erscheint das Prüfergebnis nur für Dich. Erst wenn Du danach bewusst weitere Daten eingibst, werden wir auch für Dich tätig und erstreiten den Schadensersatz.

ChatGPT erfindet Antwortet

Das Erfinden falscher Informationen ist schon für sich genommen höchst problematisch. Aber wenn es um falsche Informationen über Personen geht, kann das ernsthafte Konsequenzen haben. Unternehmen sind aktuell noch nicht in der Lage, Chatbots wie ChatGPT mit dem EU-Recht in Einklang zu bringen. Wenn aber ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt.

Fakt ist, dass das Erfinden von Personendaten jedenfalls keine valide Option ist. Es handele sich hier laut noyb eindeutig um ein strukturelles Problem. Einem kürzlich erschienenen Bericht der New York Times zufolge „erfinden Chatbots in mindestens 3 Prozent der Fälle Informationen“. In manchen Fällen sollen es sogar bis zu 27 Prozent sein. Im Fall, der die Grundlage für die durch noyb eingereichte Beschwerde bei der österreichischen Datenschutzbehörde (DSB) darstellt, antwortete ChatGPT auf die Frage nach dem Geburtstag des Beschwerdeführers (eine Person des öffentlichen Lebens) wiederholt mit falschen Informationen, anstatt den Nutzern mitzuteilen, dass die dafür notwendigen Daten fehlten.

Keine DSGVO-Rechte für von ChatGPT erfasste Personen? 

Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch war, lehnte OpenAI seinen Antrag auf Berichtigung oder Löschung ab. Die Verweigerung wurde damit argumentiert, dass eine Korrektur der Daten nicht möglich sei. Man könne zwar Daten bei bestimmten Anfragen blockieren (z.B. den Namen des Beschwerdeführers), aber nicht ohne ChatGPT daran zu hindern, alle Informationen über den Beschwerdeführer zu filtern. OpenAI hatte es sodann offenbar ebenfalls versäumt, angemessen auf das Auskunftsersuchen des Beschwerdeführers zu reagieren. Obwohl die DSGVO den Nutzern das Recht einräumt, eine Kopie aller persönlichen Daten zu verlangen, hatte OpenAI die verarbeiteten Daten, ihre Quellen oder Empfänger nicht offengelegt.

Die Verpflichtung, einem Auskunftsersuchen nachzukommen, gilt jedoch für alle Unternehmen. Es ist selbstverständlich möglich, die verwendeten Trainingsdaten zu protokollieren, um zumindest eine Vorstellung von den Informationsquellen zu erhalten. Laut noyb scheine es so, dass mit jeder “Innovation” eine andere Gruppe von Unternehmen meine, dass ihre Produkte nicht mit dem Gesetz übereinstimmen müssten.

Beschwerde gegen OpenAI eingereicht

Die plötzliche Zunahme der Popularität hat generative KI-Tools rasch zum Ziel der europäischen Datenschutzbehörden gemacht. Unter anderem befasste sich die italienische Datenschutzbehörde mit der Ungenauigkeit des Chatbots, als sie im März 2023 eine vorübergehende Einschränkung der Datenverarbeitung anordnete. Einige Wochen später richtete der Europäische Datenschutzausschuss (EDSA) eine Taskforce zu ChatGPT ein, um die nationalen Bemühungen zu koordinieren. Es bleibt abzuwarten, wohin dies führen wird. Im Moment scheint OpenAI nicht einmal so zu tun, als könne es die DSGVO einhalten.

noyb fordert jedenfalls nun zunächst die DSB zu einer Untersuchung der Datenverarbeitungspraktiken von OpenAI auf. Von besonderem Interesse ist dabei die Frage, welche Maßnahmen das Unternehmen zur Sicherstellung der Richtigkeit persönlicher Daten getroffen hat. Darüber hinaus fordert noyb, dass OpenAI dem Auskunftsbegehren des Beschwerdeführers nachkommt und seine Verarbeitung in Einklang mit der DSGVO bringt. Nicht zuletzt fordert noyb die Behörde zur Verhängung eines Bußgelds auf, um die zukünftige Einhaltung der Vorschriften sicherzustellen. Es ist davon auszugehen, dass dieser Fall im Rahmen der EU-Zusammenarbeit behandelt wird.

Wir werden über den weiteren Verlauf berichten.