Die österreichische Datenschutzorganisation noyb geht gegen die Tech-Giganten X, Meta und OpenAI (ChatGPT) vor. Sie bemängelt den datenschutzkonformen Einsatz und das datenschutzkonforme Training der KI´s.
Die Brisanz liegt auf der Hand: So wirft noyb bspw. dem Hersteller von ChatGPT vor, dass die KI falsche Informationen auch über Personen erfinde, aber diese betroffenen Personen dann keine Möglichkeit hätten, diese Informationen berichtigen oder löschen zu lassen. Diese Möglichkeit schreibt aber die DSGVO zwingend vor. OpenAI hingegen hatte erklärt, dass eine Korrektur der Daten nicht möglich sei.
Meta wollte eigentlich Informationen aus Postings für eine KI-Technologie nutzen, allerdings ohne dafür eine Einwilligung einzuholen. Meta hat sich zwischenzeitlich bereits verpflichtet, Daten nicht für undefinierte KI-Techniken zu verwenden.
Auch X will Daten von mehr als 60 Mio. Nutzern in Europa ohne deren Einwilligung zum KI-Training verwenden.
Risiken bei der KI-Nutzung
Verwender von KI sollten die aktuelle Entwicklung im Blick haben: Denn heutige Fehler im Datenschutz, im Urheberrecht oder Verstöße gegen die neue KI-Verordnung können sich auch noch in vielen Jahren ggf. teuer auswirken.
Die Diskussion ist nicht neu: Hersteller von KI brauchen Daten zu Trainingszwecken, sonst ist die KI ziemlich lahm. Aber wieweit sind wir bereit, dass die KI auch – ggf. völlig unkontrolliert – eigene personenbezogene Daten verwendet?
Die Verfahren, die noyb bei mehreren Aufsichtsbehörden eingeleitet hat, erscheinen nicht wenig erfolgversprechend. Die Auswirkungen auf die KI-Lösungen bleiben abzuwarten.
Über nyob
Die österreichische Datenschutzorganisation noyb ist übrigens keine Unbekannte: Ihr Gründungsmitglied Max Schrems hat bereits zwei Datenschutzabkommen zwischen der EU und den USA zu Fall gebracht („Safe Harbour“ und „Privacy Shield“, die Urteile des Europäischen Gerichtshofes dazu tragen auch seinen Namen: „Schrems I“ und „Schrems II“. Nyob übrigens geht auch gegen das dritte, aktuelle Datenschutzabkommen zwischen der EU und den USA vor (der nennt sich EU-US-Data Privacy Framework). Hierzu wird es irgendwann das Urteil „Schrems III“ geben – und es wird mit Spannung erwartet, ob die derzeitigen Datentransfers in die USA wirksam oder (erneut) rechtswidrig sind.