Künstliche Intelligenz (KI) ist schon seit vielen Jahren ein Teil unseres Lebens und sorgt durch stetig „klüger“ werdende Multitools immer wieder für Schlagzeilen. Zu den bekanntesten zählt derzeit ChatGPT von OpenAI. Mit mehr als 100 Millionen monatlichen Nutzern nur zwei Monate nach dem Start hält der Chatbot offiziell den Rekord für die am schnellsten wachsende Webplattform der Geschichte
Doch neben aller Begeisterung wirft ChatGPT, wie fast alle elektronischen Tools, auch Fragen über seine Auswirkungen auf den Datenschutz und die Cybersicherheit auf. Je nach Fragen- oder Aufgabenstellung an ChatGPT gibt die nutzende Person unterschiedlich viele, teils sensitive Informationen von sich preis – etwa zu Interessen an politischen, religiösen, weltanschaulichen oder wissenschaftlichen Fragen, aber auch zu ihrer familiären oder sexuellen Lebenssituation.
Können die Grundsätze der Datenschutz-Grundverordnung eingehalten werden?
Nach der Datenschutz-Grundverordnung (DSGVO) muss ein Anbieter von Leistungen, bei denen personenbezogene Daten verarbeitet werden, unter anderem erklären können, welche Daten wie und zu welchem Zweck verarbeitet werden. Beim Einsatz von ChatGPT ist allerdings unklar zu welchen Zwecken eingegebene Daten verarbeitet werden und aus welchem Datenpool die hinter dem Dienst liegende, künstliche Intelligenz ihr Wissen speist. Hier steht der Grundsatz der Transparenz einem selbstlernenden System gegenüber, welches allenfalls bedingt nachvollziehbare Ergebnisse produziert.
Auch der Grundsatz der Datenminimierung (Speicherbegrenzung) steht künstlicher Intelligenz, welche für ein effektives Training den Zugriff auf möglichst große Datenmengen benötigt, entgegen. Nach der DSGVO ist der Verantwortliche zudem verpflichtet, die Richtigkeit der von ihm verarbeiteten personenbezogenen Daten zu gewährleisten. Das Wissen des Algorithmus kann allerdings veraltet sein, wenn sich die Umstände nach seinem Training ändern, selbst wenn die ursprünglichen Daten korrekt waren. Schließlich tritt in Bezug auf die Ausübung des datenschutzrechtlichen Rechts auf Löschung das Problem auf, dass Systeme der künstlichen Intelligenz nicht gut darin sind, die Informationen zu vergessen, mit denen sie trainiert wurden. Sobald ChatGPT aus bestimmten persönlichen Daten gelernt hat, wird sich sein neuronales Netz an das Gelernte erinnern, selbst wenn die ursprünglichen Informationen aus der „Basisschicht“ gelöscht werden.
Reaktionen der Datenschutzbehörden in Europa
Das populäre KI-Tool ChatGPT wurde durch die italienische Datenschutzbehörde Ende März 2023 bereits vorübergehend gesperrt , da dieses nicht mit dem Datenschutz vereinbar sei. Trotz der im Anschluss durch den Betreiber vorgenommenen Verbesserungen im Datenschutz durch neue Einstellungen bleiben jedoch Bedenken bestehen. In Europa haben indes weitere Länder Untersuchungen angekündigt bzw. eingeleitet, die sich auf die Vereinbarkeit von ChatGPT und der DSGVO beziehen, etwa Spanien, Frankreich und Irland. Auch die deutschen Aufsichtsbehörden in der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) sehen den Einsatz des Tools in Bezug auf die Einhaltung des Datenschutzes kritisch. Um eine Bewertung abgeben zu können, haben diese das in San Francisco ansässige Unternehmen OpenAI zunächst aufgefordert, einen Fragenkatalog zur Datenverarbeitung bei ChatGPT zu beantworten. Laut dem deutschen Bundesdatenschutzbeauftragten ist auch eine Sperrung hierzulande denkbar.
Regulierungen sind dringend nötig. Aber wie sollen diese aussehen?
Bereits seit April 2021 wird von der EU-Kommission der so genannte Artificial Intelligence Act (AI Act) ausgehandelt, welcher noch in diesem Jahr verabschiedet werden könnte. Das Gesetz soll die Anwendung von künstlicher Intelligenz in Europa regulieren und zielt dabei insbesondere darauf ab, die Datenqualität, die Transparenz, die menschliche Aufsicht und die Verantwortlichkeit im Bereich der KI zu verbessern. Der Gesetzesentwurf teilt KI-Anwendungen in Risikoklassen ein. Programme mit geringem Risiko werden kaum reguliert. Allzu riskante Systeme sollen ganz verboten werden. Das sind zum Beispiel Sozialkreditsysteme, mit denen Staaten das Alltagsverhalten ihrer Bürger analysieren könnten. Die dritte Klasse bilden Anwendungen mit hohen Risiken. Deren Anbieter müssen Auflagen erfüllen, um diese Risiken zu minimieren. Beispielsweise wäre eine KI, die in einem Krankenhaus Behandlungsmethoden vorschlägt, ein solcher Hochrisikofall.
Es stellt sich allerdings die Frage, wie „Multifunktions-KI“, so genannte generative KI, wie sie in ChatGPT enthalten ist, in diese Metrik einzuordnen ist, da deren Zweck nicht eindeutig ist.
Zahlreiche Stimmen sprechen sich für strenge Auflagen für die Hersteller von Mehrzweck-KI-Systemen im AI Act aus. So fordern beispielsweise die Unterzeichner eines offenen Briefs, zu denen unter anderem Mark Surman und Elon Musk zählen, die Einordnung von Systemen wie ChatGPT als Hochrisiko-KI-Systeme.
Dem gegenüber steht jedoch die Angst einer Überregulierung, welche gerade den Unternehmen schaden könnte, die es besser machen wollen als die großen Konzerne.
Auch reagierte OpenAI bereits auf die ersten Entwürfe und kündigte einen Rückzug aus Europa an, sollten die geplanten Regulierungen der Europäischen Union nicht entschärft werden. Der derzeitige Entwurf des EU-KI-Gesetzes wäre eine Überregulierung.
Was die Zukunft bringt
Durch gesetzliche Regelungen, wie den AI Act, soll ein Gleichgewicht zwischen den technologischen Fortschritten und den Rechten des Einzelnen auf Privatsphäre und Sicherheit der Informationen hergestellt werden. Ob dies in der Praxis gelingen wird, bleibt zunächst abzuwarten.