Der Hauptgrund für die Sperre von ChatGPT sei nach Angaben der italienischen Datenschutzbehörde die fehlende Zurverfügungstellung von Information an die Nutzer*innen, deren personenbezogene Daten durch OpenAI verarbeitet werden. Auch sei keine legitime Rechtsgrundlage für die massenhafte Verarbeitung personenbezogener Daten zum Zweck des Trainings der Algorithmen vorgelegen. Diese Vorwürfe gegen ChatGPT stoßen allgemeine datenschutzrechtliche Überlegungen zu KI an.

Eine allgemeingültige Definition für den Begriff KI hat sich noch nicht etabliert. Dies hängt unter anderem damit zusammen, dass bislang der Begriff der künstlichen Intelligenz selbst nicht eindeutig bestimmt ist. Nach der aktuellen Fassung des Entwurfs der KI-Verordnung (AI-Act) wird der Begriff KI-System als Software definiert, die im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse hervorbringen kann. Die KI benötigt in jedem Fall eine große Menge von Daten und kann dabei mit unterschiedlichen Techniken und Konzepten entwickelt worden sein. Eines dieser Konzepte ist das maschinelle Lernen („Machine Learning“).

Verarbeitung personenbezogener Daten durch KI

Beim maschinellen Lernen werden – vereinfacht ausgedrückt – große Datenmengen verarbeitet und ausgewertet, um den KI-Algorithmus zu trainieren. Sofern dabei personenbezogene Daten verarbeitet werden, eröffnet sich bereits der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO), womit die darin enthaltenen zahlreichen Regelungen einzuhalten sind.

Die KI kann personenbezogene Daten aber nicht nur für das Training des Algorithmus, sondern auch für ihre Ergebnisse verwenden. Damit wird der datenschutzrechtliche Eingriff noch stärker, die Einhaltung der DSGVO grundsätzlich schwieriger, und auch die Persönlichkeitsrechte sind zu beachten. So ist beispielsweise beim Einsatz von ChatGPT davon auszugehen, dass personenbezogene Daten (zumindest) von bestimmten Personen dauerhaft gespeichert werden. Auch erteilt ChatGPT auf Grundlage seiner Datensätze Auskünfte über konkrete Personen.

KI und die DSGVO

Die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Einsatz von KI erfordert die Einhaltung der Grundsätze der Datenverarbeitung der DSGVO. So dürfen unter anderem nach dem Grundsatz der Datenminimierung personenbezogene Daten für KI-Anwendungen nur genutzt werden, wenn sie auch tatsächlich für den jeweiligen vordefinierten Zweck benötigt werden. Auch darf die Verarbeitung nur so lange erfolgen, solange sie für den Zweck notwendig ist. Darüber hinaus müssen die personenbezogenen Daten inhaltlich korrekt und aktuell sein. Im Zusammenhang mit dem letzten Punkt sind bereits Berichte in Medien erschienen, in denen ChatGPT beschuldigt wird, unwahre Auskünfte über betroffene Personen erteilt zu haben.

Insbesondere der Grundsatz der Zweckbindung kann unter Umständen zu einer Herausforderung werden, wenn personenbezogene Daten ursprünglich für einen bestimmten Zweck erhoben wurden und später von der KI zu anderen Zwecken verarbeitet werden. Dies kann beim maschinellen Lernen der Fall sein, wenn Daten aus völlig unterschiedlichen Anwendungen und Quellen zusammengeführt und für das KI-Training verarbeitet werden. Zu prüfen wäre dann, ob der ursprüngliche und der neue Zweck der Datenverarbeitung miteinander kompatibel sind. Die Verarbeitung, Auswertung, Speicherung oder Beschaffung von personenbezogenen Daten im Zusammenhang mit dem Einsatz von KI erfordert auch eine legitime Rechtsgrundlage im Sinne der DSGVO. Je nach den technischen Merkmalen und der Art der Verarbeitung der KI kann die Verarbeitung personenbezogener Daten zum Beispiel auf der Einwilligung der betroffenen Person oder auf der Wahrung eines berechtigten Interesses beruhen.

Weiters ist gemäß DSGVO jeder Verantwortliche verpflichtet, betroffenen Personen, deren Daten erhoben werden, bestimmte Informationen zukommen zu lassen. Die fehlende Zurverfügungstellung von Information an die Nutzer*innen, deren personenbezogene Daten durch OpenAI verarbeitet werden, ist auch einer der aktuellen Hauptvorwürfe der italienischen Datenschutzbehörde.

Besonders interessant dürften dabei für KI-Systeme Art. 13 Abs. 2 lit. f DSGVO für die Direkterhebung und Art. 14 Abs. 2 lit. g DSGVO für die Dritterhebung sein. Betroffene Personen müssen demnach darüber informiert werden, ob eine automatisierte Entscheidungsfindung einschließlich Profiling vorliegt. Ist dies der Fall, müssen den betroffenen Personen auch Informationen zur involvierten Logik und Tragweite sowie den angestrebten Auswirkungen der Datenverarbeitung bereitgestellt werden. Hierbei kann eine verständliche Erklärung, wie die Algorithmen hinter der KI funktionieren, die Verantwortlichen in der Praxis vor Herausforderungen stellen.

Auch von der Pflicht des Treffens geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus entbindet das Entwickeln und Betreiben eines KI-Systems nicht, sofern dabei personenbezogene Daten verarbeitet werden. Bei Datenverarbeitungen mit voraussichtlich hohem Risiko ist dessen ungeachtet eine Datenschutz-Folgenabschätzung durchzuführen.

Einordnung

Künstliche Intelligenz kann prinzipiell für viele Prozesse und Aufgaben einen Fortschritt bedeuten und zur Entwicklung der Gesellschaft beitragen, auch wenn es zweifellos für manche Bereiche eine disruptive Technologie ist. Die Anwendung erfordert jedoch ein entsprechendes Maß an Akzeptanz und Vertrauen in die Technologie. Dazu gehört auch die Einhaltung rechtlicher Vorschriften, wie zum Beispiel des Datenschutzes. Das Beispiel von ChatGPT veranschaulicht dies. Künstliche Intelligenz ist dabei eine noch junge Technologie, die weder ihre volle Kraft ausgeschöpft noch den notwendigen Anpassungsvorgang an bestehende gesellschaftsrechtliche Erwartungen und Notwendigkeiten durchlaufen hat. Schlichte Verbote bringen dabei keinen Mehrwert für eine Zukunftstechnologie. Vielmehr ist es ein Gebot der Stunde, dass die (gesetzlichen) Erwartungen und Vorgaben klar definiert werden. Die EU-Kommission hat mit ihren beiden Gesetzgebungsvorhaben AI-Act und KI-Haftungsrichtlinie damit begonnen. Völlig unverständlich bleibt aber, warum es den Menschen in einem ersten Schritt nicht durch eine entsprechende Hinweispflicht ermöglicht wird, den oft nur für absolute Fachleute ersichtlichen Einsatz derartiger Systeme im Alltag leicht zu erkennen. Die in Art. 52 des Entwurfs für einen AI-Act vorgesehene Hinweispflicht greift diesbezüglich zu kurz. 

Über Binder Grösswang

Binder Grösswang berät seit 60 Jahren als eine der führenden österreichischen Wirtschaftskanzleien mit stark internationaler Ausrichtung zu allen Fragen des Wirtschaftsrechts. Binder Grösswang beschäftigt an den Standorten in Wien und Innsbruck über 180 Mitarbeiter*innen. Die Kanzlei betreut namhafte nationale wie auch internationale Unternehmen aller Branchen.