ChatGPT halluziniert, das ist nicht neu. Wenn der Chatbot aber falsche Daten über Personen wiedergibt, stellt dies nach Ansicht von Datenschützern einen Verstoß gegen geltendes EU-Recht dar.
APA/dpa/Frank Rumpenhorst

Dass Chatbots wie ChatGPT gerne halluzinieren, ist nicht neu, und das wird sich auch in absehbarer Zeit nicht so schnell ändern. Warum die Künstliche Intelligenz überzeugend klingende falsche Informationen ausspuckt, lässt sich oft nicht genau festmachen. Laut der Definition von Google werden Halluzinationen etwa durch unzureichende Trainingsdaten, falsche Annahmen des Modells oder Verzerrungen in den Trainingsdaten (der sogenannte Bias) verursacht.

Dieses Problem ist natürlich auch den Entwicklerunternehmen bekannt, und OpenAI oder Google weisen auch darauf hin, dass es zu Halluzinationen kommen kann und wird. Aus Sicht der Datenschutzorganisation Noyb ist das aber ein echtes Problem, wenn personenbezogene Daten falsch wiedergegeben werden. Darin sieht die Organisation aus Wien einen klaren Verstoß gegen die Datenschutzgrundverordnung der EU.

Laut der Datenschutzgrundverordnung müssen persönliche Daten bei ihrer Verarbeitung korrekt sein, das ist in Artikel 5 so geregelt. Außerdem gibt es ein Recht auf Berichtigung inkorrekter Informationen – und die Möglichkeit, ihre Löschung zu verlangen. Darüber hinaus müssen Unternehmen gemäß dem Auskunftsrecht in Artikel 15 nachweisen können, welche Daten sie über Einzelpersonen gespeichert haben und aus welchen Quellen sie stammen. "Ungenaue Informationen sind vielleicht tolerabel, wenn Schüler ChatGPT für ihre Hausaufgaben nutzen. Sie sind jedoch inakzeptabel, wenn es um die Informationen über Einzelpersonen geht", teilte die Organisation für digitale Grundrechte mit.

"Das Erfinden falscher Informationen ist schon für sich genommen höchst problematisch. Aber wenn es um falsche Informationen über Personen geht, kann das ernsthafte Konsequenzen haben. Es ist klar, dass Unternehmen derzeit nicht in der Lage sind, Chatbots wie ChatGPT mit dem EU-Recht in Einklang zu bringen. Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt", sagt Maartje de Graaf, Datenschutzjuristin bei Noyb.

Datenänderung oder Löschung nicht möglich

Eine nicht näher genannte Person des öffentlichen Lebens hat die Beschwerde eingebracht. Deren Geburtstag wurde von ChatGPT wiederholt falsch wiedergegeben, anstatt den Nutzerinnen und Nutzern mitzuteilen, dass die dafür notwendigen Daten fehlen. Nach Angaben von Noyb wandte sich die Person daraufhin an OpenAI und bat um eine Berichtigung der Daten, was das US-Unternehmen aber ablehnte. Ebenso wurde ein Antrag auf Löschung abgelehnt. Dies wurde damit argumentiert, dass eine Korrektur der Daten nicht möglich sei. Man könne zwar Daten bei bestimmten Anfragen blockieren, wie etwa den Namen des Beschwerdeführers, aber nicht ohne ChatGPT daran zu hindern, alle Informationen über den Beschwerdeführer zu filtern.

"OpenAI hat es außerdem versäumt, angemessen auf das Auskunftsersuchen des Beschwerdeführers zu reagieren. Obwohl die DSGVO den Nutzerinnen und Nutzern das Recht einräumt, eine Kopie aller persönlichen Daten zu verlangen, hat es OpenAI versäumt, die verarbeiteten Daten, ihre Quellen oder Empfänger offenzulegen", heißt es von Noyb.

"Die Verpflichtung, einem Auskunftsersuchen nachzukommen, gilt für alle Unternehmen. Es ist selbstverständlich möglich, die verwendeten Trainingsdaten zu protokollieren, um zumindest eine Vorstellung von den Informationsquellen zu erhalten. Es scheint, dass mit jeder 'Innovation' eine andere Gruppe von Unternehmen meint, dass ihre Produkte nicht mit dem Gesetz übereinstimmen müssen", kritisiert de Graaf.

Behörden bislang erfolglos

Die steigende Popularität hat generative KI-Tools rasch zum Ziel der europäischen Datenschutzbehörden gemacht. Unter anderem befasste sich die italienische Datenschutzbehörde mit der Ungenauigkeit des Chatbots, als sie im März 2023 eine vorübergehende Einschränkung der Datenverarbeitung anordnete. Die italienische Behörde berief sich dabei ebenfalls auf die Datenschutzgrundverordnung. Einige Wochen später richtete der Europäische Datenschutzausschuss (EDSA) eine Taskforce zu ChatGPT ein, um die nationalen Bemühungen zu koordinieren.

Noyb fordert die österreichische Datenschutzbehörde (DSB) nun zu einer Untersuchung der Datenverarbeitungspraktiken von OpenAI auf. Von besonderem Interesse ist dabei die Frage, welche Maßnahmen das Unternehmen zur Sicherstellung der Richtigkeit persönlicher Daten getroffen hat. Darüber hinaus fordert Noyb, dass OpenAI dem Auskunftsbegehren des Beschwerdeführers nachkommt und seine Verarbeitung in Einklang mit der DSGVO bringt. Nicht zuletzt fordert Noyb die Behörde zur Verhängung eines Bußgelds auf, um die zukünftige Einhaltung der Vorschriften sicherzustellen. Es ist davon auszugehen, dass dieser Fall im Rahmen der EU-Zusammenarbeit behandelt wird. (red, 26.4.2024)