Das Problem der „Halluzinationen“ von ChatGPT wurde in der EU erneut mit einer Datenschutzbeschwerde beklagt

Bildnachweis: Olivier Daulieri/AFP/Getty Images

OpenAI steht vor einer weiteren Datenschutzbeschwerde in der Europäischen Union. Dieser Fall wurde von einer gemeinnützigen Organisation eingereicht, die sich mit Datenschutzrechten befasst noyb Im Namen eines einzelnen Beschwerdeführers geht er auf die Unfähigkeit des KI-gestützten Chatbots ChatGPT ein, Fehlinformationen über Einzelpersonen zu korrigieren.

Die Tendenz von GenAI-Tools, falsche Informationen zu produzieren, ist gut dokumentiert. Aber es bringt die Technologie auch auf Kollisionskurs mit der Datenschutz-Grundverordnung (DSGVO) des Blocks – die regelt, wie die personenbezogenen Daten regionaler Nutzer verarbeitet werden.

Strafen für Verstöße gegen die DSGVO können bis zu 4 % des gesamten weltweiten Jahresumsatzes ausmachen. Noch wichtiger für einen ressourcenreichen Giganten wie OpenAI: Datenschutzbehörden könnten Änderungen bei der Verarbeitung von Informationen anordnen, sodass die Einführung der DSGVO die Funktionsweise generativer KI-Tools in der EU neu gestalten könnte.

OpenAI war bereits gezwungen, einige Änderungen vorzunehmen, nachdem die italienische Datenschutzbehörde frühzeitig eingegriffen hatte, was ChatGPT kurzzeitig dazu zwang, im Jahr 2023 lokal herunterzufahren.

Jetzt hat noyb seine jüngste DSGVO-Beschwerde gegen ChatGPT bei der österreichischen Datenschutzbehörde im Namen eines namentlich nicht genannten Beschwerdeführers (beschrieben als „Person des öffentlichen Lebens“) eingereicht, der feststellte, dass sein KI-gestützter Chatbot ein falsches Geburtsdatum für ihn angegeben hatte.

Gemäß der Datenschutz-Grundverordnung haben Menschen in der EU eine Reihe von Rechten im Zusammenhang mit Informationen über sie, einschließlich des Rechts auf Berichtigung unrichtiger Daten. noyb macht geltend, dass OpenAI dieser Verpflichtung in Bezug auf die Ausgabe seines Chatbots nicht nachkommt. Sie sagte, dass das Unternehmen den Antrag des Beschwerdeführers auf Berichtigung des falschen Geburtsdatums abgelehnt habe, da es technisch unmöglich sei, es zu korrigieren.

Stattdessen wurde angeboten, Daten auf der Grundlage bestimmter Eingabeaufforderungen zu filtern oder zu blockieren, beispielsweise nach dem Namen des Beschwerdeführers.

OpenAI Datenschutzrichtlinie Darin heißt es, dass Benutzer, die feststellen, dass ihr KI-Chatbot „ungenaue Informationen über Sie“ generiert hat, eine „Korrekturanfrage“ stellen können Privacy.openai.com Oder per E-Mail an dsar@openai.com. Allerdings weist er diese Zeile mit dem Vorbehalt zurück: „Aufgrund der technischen Komplexität der Funktionsweise unserer Modelle sind wir möglicherweise nicht in der Lage, Ungenauigkeiten in jedem Fall zu korrigieren.“

In diesem Fall schlägt OpenAI vor, dass Benutzer beantragen, dass ihre persönlichen Daten vollständig aus der ChatGPT-Ausgabe entfernt werden – indem sie ein Formular ausfüllen Web-Formular.

Das Problem für den KI-Riesen besteht darin, dass seine DSGVO-Rechte nicht selektiv sind. Die Menschen in Europa haben das Recht, Korrektur zu verlangen. Sie haben außerdem das Recht, die Löschung ihrer Daten zu verlangen. Aber wie Noib betont, hat OpenAI nicht das Recht, eines dieser verfügbaren Rechte auszuwählen.

Andere Elemente der Beschwerde konzentrieren sich auf Bedenken hinsichtlich der DSGVO-Transparenz. Noib behauptet, dass OpenAI nicht in der Lage sei, die Quelle der Daten zu identifizieren, die es über Einzelpersonen generiert, und auch nicht die Daten, die der Chatbot über Personen speichert.

Dies ist wichtig, da die Verordnung Einzelpersonen erneut das Recht einräumt, solche Informationen anzufordern, indem sie einen sogenannten Subject Access Request (SAR) einreichen. OpenAI reagierte jedoch nicht angemessen auf die Verdachtsmeldung des Beschwerdeführers und gab keine Informationen über die verarbeiteten Daten, ihre Quellen oder Empfänger offen.

Maartje de Graaf, Datenschutzanwältin bei noyb, kommentierte die Beschwerde in einer Stellungnahme wie folgt: „Die Fälschung falscher Informationen ist an sich schon ein großes Problem.“ Doch wenn es um falsche Angaben zu Personen geht, kann das schwerwiegende Folgen haben. Es ist klar, dass Unternehmen Chatbots wie ChatGPT derzeit nicht in der Lage sind, bei der Verarbeitung personenbezogener Daten EU-Recht einzuhalten. Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, kann es nicht zur Generierung von Daten über Einzelpersonen verwendet werden. Technologie muss den gesetzlichen Anforderungen folgen, nicht umgekehrt.

Das Unternehmen sagte, es bittet die österreichische Datenschutzbehörde, die Beschwerde bezüglich der Datenverarbeitung durch OpenAI zu untersuchen, und fordert sie auf, eine Geldbuße zu verhängen, um die künftige Einhaltung sicherzustellen. Sie fügte jedoch hinzu, dass es „wahrscheinlich“ sei, dass das Problem durch eine Zusammenarbeit mit der Europäischen Union gelöst werde.

OpenAI sieht sich in Polen mit einer sehr ähnlichen Beschwerde konfrontiert. Im vergangenen September leitete die örtliche Datenschutzbehörde eine Untersuchung zu ChatGPT ein, nachdem sich ein Datenschutz- und Sicherheitsforscher beschwert hatte, der ebenfalls von OpenAI nicht in der Lage war, falsche Informationen darüber zu korrigieren. In dieser Beschwerde wird dem KI-Riesen auch vorgeworfen, die in der Verordnung festgelegten Transparenzanforderungen nicht einzuhalten.

Unterdessen führt die italienische Datenschutzbehörde noch eine laufende Untersuchung zu ChatGPT durch. Im Januar gab es einen Entscheidungsentwurf heraus, in dem es damals hieß, OpenAI habe in mehrfacher Hinsicht gegen die DSGVO verstoßen, unter anderem im Zusammenhang mit der Tendenz des Chatbots, irreführende Informationen über Personen zu produzieren. Die Feststellungen beziehen sich auch auf andere inhaltliche Fragen, etwa die Rechtmäßigkeit der Behandlung.

Die italienischen Behörden haben OpenAI einen Monat Zeit gegeben, um auf seine Ergebnisse zu reagieren. Die endgültige Entscheidung steht noch aus.

Da nun eine weitere DSGVO-Beschwerde über seinen Chatbot eingereicht wurde, ist das Risiko gestiegen, dass OpenAI mit einer Kaskade von DSGVO-Durchsetzungen in verschiedenen Mitgliedstaaten konfrontiert wird.

Im vergangenen Herbst eröffnete das Unternehmen ein Regionalbüro in Dublin – ein Schritt, der offenbar darauf abzielt, regulatorische Risiken durch die Umleitung von Datenschutzbeschwerden durch die irische Datenschutzkommission zu verringern, dank eines Mechanismus in der DSGVO, der die grenzüberschreitende Aufsicht vereinfachen soll Beschwerden. Indem Sie sie an eine einzige Behörde eines Mitgliedstaats weiterleiten, in dem das Unternehmen ein „Hauptunternehmen“ ist.