Darf man die von KI erzeugten Texte einfach verwenden?

Unter welchen Voraussetzungen kann ChatGPT eingesetzt werden?

Die Basis von ChatGPT ist deep learning. Deep learning ist eine Methode des Maschinenlernens, die künstliche neuronale Netze (KNN) mit Zwischenschichten zwischen Ein- und Ausgabeschicht einsetzt und dadurch eine umfangreiche innere Struktur herausbildet. Für das Training der Sprach-KI wurden riesige Datenmengen benötigt. ChatGPT lernte anhand von Texten aus dem Internet (mehr als 500 Milliarden Wörtern), wie Sprache (nicht Wissen!!) funktioniert.

Die von KI generierten Inhalte entfalten (meistens) keinen eigenen urheberrechtlichen Schutz, da nur Menschen Urheberrechte aufgrund persönlicher geistiger Schöpfung zugesprochen werden können.

Programme wie ChatGPT können keine persönliche Schöpfung erbringen, Mitarbeiter (und schon gar nicht Unternehmen) hinter der KI sind somit auch keine Urheber des erzeugten Outputs.

Achtung:

• Ungeprüftes Übernehmen von KI generierten Inhalten stellt ggf. eine Sorgfaltspflichtverletzung des Nutzers dar, der Urheber kann den Nutzer für Rechtsverletzungen verantwortlich machen.
• Bei vorsätzlichem oder fahrlässigem Verhalten greift ein Schadensersatzanspruch gem. § 97 II UrhG.
• Übernahme von Output ohne manuelle Prüfung kann als grob fahrlässiges/fahrlässiges Verhalten gewertet werden à Große Sorgfalt geboten!
• AI-Act: Kennzeichnungspflicht für KI-generierte Inhalte

Interne Regeln festlegen:

• Schulung der Mitarbeiter
• Keine personenbezogenen Daten in offene KI-Systeme!
• Jegliche Verarbeitungen personenbezogener Daten durch KI müssen den Datenschutzgrundprinzipien entsprechen.
• Sollen KI-Systeme in Unternehmen eingesetzt werden, empfiehlt sich im Einzelfall die Durchführung einer Datenschutz-Folgenabschätzung.
• Um die Einhaltung der Prinzipien im Kontext der Verwendung von KI greifbarer zu machen, hat die Datenschutzkonferenz (DSK) sieben datenschutzrechtliche Anforderungen in ihrer Hambacher Erklärung zur Künstlichen Intelligenz herausgearbeitet

Muss beim Einsatz von KI im  Unternehmen eine DSFA durchgeführt werden?

Grundsätzlich ist eine Datenschutzfolgeabschäztung eine Vorabkontrolle, die durchgeführt werden soll, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies kann insbesondere dann der Fall sein, wenn neue Technologien eingesetzt werden, wie es bei KI-Systemen oft der Fall ist.

Artikel 35 DSGVO verlangt, dass eine DSFA insbesondere dann durchzuführen ist, wenn eine von drei genannten Konditionen zutrifft:

• Systematische und umfangreiche Bewertung persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung beruht, einschließlich Profiling, und die rechtliche Wirkungen für die natürliche Person nach sich zieht oder sie in ähnlicher Weise erheblich beeinflusst.
• Groß angelegte Verarbeitung besonderer Kategorien von Daten nach Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 10.
• Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Beim Einsatz von KI ist keine dieser drei Kategorien gegeben, aber es steht ja auch nur im Gesetzestext „insbesondere“!

„Die Regelbeispiele in Abs. 3 konkretisieren den allgemeinen Begriff des „hohen Risikos“ iSd Abs. 1, indem sie nicht abschließend bestimmte Fälle definieren, bei denen eine DSFA durchzuführen ist.“

(Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 35 Rn. 21)

Also: Es reicht, wenn das geplante Vorhaben (hier: Einsatz von KI) eine einzige Verarbeitung (wie etwa eine Erhebung oder Übermittlung von Daten) beinhaltet, die voraussichtlich ein hohes Risiko gemäß Absatz 1 mit sich bringen kann. Vorliegend kann die Erlaubnis, KI einzusetzen, ein hohes Risiko für die personenbezogenen Daten mit sich bringen (nämlich dann, wenn sich jemand nicht an die Vorgaben hält, keine pbD im System verarbeiten zu lassen).

Fazit

Art. 35 Abs.1 DSGVO stellt auf eine bestimmte Form der Verarbeitung ab, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hat, wenn gegen die organisatorische Maßnahme verstoßen wird. Ausgangspunkt ist also nicht die organisatorische Maßnahme, sondern der Einsatz der KI.

Erst durch das Verbot des Einsatzes personenbezogener Daten reduziert sich das Risiko auf ein vernünftiges Maß.

Welche Punkte sind vor Launch zu beachten?

Anwendungsbereich definieren:

• welche Organisation, Bereiche und Mitarbeiter sind umfasst
• Anlegen von Unternehmensaccounts für jeweilige Anwendung, die ausschließlich genutzt werden dürfen

Zuständigkeiten für Fragen klären, z.B.

• Anwendungen auflisten, die zur unterstützenden Nutzung freigegeben sind, z.B. Midjourney, ChatGPT…
• Freigabe bzw. Bereitstellung und Wartung von weiteren KI- Anwendungen verantwortlich durch IT-Abteilung/
  KI-Verantwortliche
• Klärung der rechtlichen Fragestellungen und Vertragsabschluss im Zusammenhang mit KI durch die Rechtsabteilung
• Überwachung der datenschutzrechtlichen Aspekte durch den Datenschutzbeauftragten

Datenschutz

• in öffentlich zugänglichen Anwendungen (z.B. ChatGPT) dürfen keinerlei personenbezogene Daten gegeben werden.
• In internen Anwendungen muss verbindlich festgelegt werden, wer die Anwendungen wie nutzen darf
• Risikobewertung durchführen unter Berücksichtigung aller alle relevanten Faktoren, einschließlich der potenziellen rechtlichen, ethischen und sicherheitstechnischen Risiken (Maßnahmen zur Risikominderung entwickeln und implementieren)

Urheberrecht

• Jeder/Jede muss darauf hinweisen, wenn er/sie Inhalte erstellt hat, die von KI generiert wurden (Redlichkeitsprinzip).
• Mit KI generierte Inhalte begründen kein Urheberrecht der Mitarbeitenden und damit kein Nutzungsrecht des Arbeitgebers! Die Mitarbeitenden müssen das wissen, ansonsten geht der Arbeitgeber fälschlicherweise davon aus, dass er ausschließlicher Nutzungsinhaber geworden ist an einem Werk, das aber eventuell gar nicht urheberrechtlich geschützt ist.

Haftung

• Allen muss klar sein: Anbieter öffentlicher Anwendungen haften für keine inhaltlichen Fehler, die die Anwendung ausgibt. Die Mitarbeitenden müssen die ausgegebenen Inhalte selbst auf Richtigkeit prüfen!
• Mitarbeitende müssen darauf achten, dass die KI keine Diskriminierung betreibt (z.B. in der Personalabteilung).
• Probleme sollten umgehend mit Vorgesetzten oder die dafür zuständigen Stellen besprochen werden.

IT-Security

• Anmeldeinformationen und Zugangsdaten zu KI-Anwendungen besonders schützen.
• Systeme und Anwendungen stets aktuell halten, um Sicherheitslücken zu minimieren.
• Verdächtige Aktivitäten oder Sicherheitsverletzungen sind unverzüglich dem IT- Sicherheitsteam zu melden.

Schulung

• Schulungen und Workshops zur sicheren und effizienten Nutzung von KI-Anwendungen anbieten
  --> Jährliche Mitarbeiterschulungen durchführen

Meldepflicht

• Ungewöhnliche Vorfälle oder Probleme im Zusammenhang mit KI-Anwendungen sollten an die IT-Abteilung oder den Datenschutzbeauftragten gemeldet werden.

Vertraulichkeit

• Keine vertraulichen oder unternehmensbezogenen oder personenbezogene oder sensible Daten in die KI geben.

LiiDU-Tipp:

• Erstellen einer KI-Richtlinie, damit alle wichtigen Punkte berücksichtigt werden
• KI-Richtlinie jährlich überprüfen und auf den aktuellen Stand bringen

Datenschutzkonformer Einsatz von LLM-basierter Chatbots

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Checkliste zum Einsatz von LLM-basierter Chatbots veröffentlicht. Folgende Punkte sind demnach zu beachten:

• Compliance-Regelungen
• Einbindung der Datenschutzbeauftragte
• Bereitstellung von Funktions-Accounts
• Sicherstellung der Authentifizierung
• Keine Eingabe/Ausgabe personenbezogener Daten
• Vorsicht bei personenbeziehbaren Daten
• Opt-out des KI-Trainings und der History
• Ergebnisse auf Richtigkeit und Diskriminierung prüfen
• Keine automatisierte Letztentscheidung
• Sensibilisierung der Beschäftigten
• Datenschutz, Urheberrechte und Geschäftsgeheimnissen bedenken
• Weitere Entwicklung verfolgen

Können Ergebnisse aus KI-Anwendungen wie Midjourney oder ChatGPT kommerziell verwendet werden? 

1. Urheberrechtlich geschützt sind nach Art. 2 Abs. 2 UrhG nur menschliche Schöpfungen. Voraussetzung ist also, dass ein Werk der Literatur, Wissenschaft oder Kunst nach dem Gesetz nur vorliegen kann, wenn ein Mensch die Werkschöpfung vorgenommen hat. (Tiere können z.B. auch nicht Inhaber von Urheberrechten sein, vgl. Heise)
2. Grundsätzlich ist also davon auszugehen, dass die KI-erzeugten Inhalte selbst keinen urheberrechtlichen Schutz genießen. Damit dürfte man auch die über ChatGPT erzeugten Texte beliebig verwenden.
3. Aber: es ist unsichtbar, woher ChatGPT wiederum seine Inhalte bezieht bzw. welcher Quellen sich die KI bedient. Diese genießen möglicherweise urheberrechtlichen Schutz. Deshalb muss vor allem vor Veröffentlichungen geprüft werden, ob damit Urheberrecht anderer verletzt werden, vgl. FAZ

Inwieweit machen AGB einen Unterschied?

Haben Sie Nutzungsbedingungen oder andere AGB akzeptiert, werden diese Vertragsbestandteil. In AGB können bestimmte Rechte an der Software – oder den damit erzeugten Inhalten – geregelt werden. Möglicherweise wird nämlich mit den Nutzungsbedingungen vereinbart, dass die von der KI generierten Inhalte nur eingeschränkt genutzt werden dürfen.

Bei ChatGPT können allerdings keine Nutzungsbedingungen aufgerufen werden. Nach Vorgaben des BGH müssten sie zudem ausdruckbar und abspeicherbar sein. Das ist vorliegend jedenfalls nicht gegeben, weshalb eine Einschränkung der Nutzung durch Nutzungsbedingungen wohl nicht gegeben ist.

Darf man Screenrecordings von ChatGPT für einen Social Media Beitrag verwenden?

Für die reinen Inhalte, die von ChatGPT erzeugt werden, empfehlen wir eine Kennzeichnung dahingehend, dass sie von einer KI erzeugt wurden. Eine Zitierpflicht im urheberrechtlichen Sinne besteht nicht, da die erzeugten Inhalte nicht urheberrechtlich geschützt sind (zumindest nicht durch die KI, da diese kein Mensch ist und deshalb kein Urheberrecht an den erzeugten Inhalten haben kann. Wie letzte Woche aber im Datenschutz-Weekly bereits besprochen, ist nicht klar, woher die Inhalte bei der KI stammen, da ChatGPT selbst die Quellen nicht angibt. Um Urheberrechtsverletzungen zu vermeiden, sollten daher die Inhalte nicht kommerziell verwendet werden, ohne zu prüfen, woher die generierten Inhalte stammen).

Zu den Screenrecordings: Design und die Benutzeroberfläche können urheberrechtlich, wettbewerbsrechtlich oder designrechtlich geschützt sein. Wir raten daher von der Veröffentlichung eines Screenrecordings aus rechtlichen Gründen ab. Mit einer entsprechenden Genehmigung der Entwickler von ChatGPT wäre dies allerdings möglich.

Wäre es zulässig, den Prozess der Antworterstellung in einen eigenen "Frame" zu packen, mit z.B. dem eigenen Unternehmenslogo?

Damit dürfte eine unzulässige Leistungsübernahme nach § 4 Ziff. 3 a) UWG vorliegen.

Ist es möglich auf Bilder, die durch den Anwender über Midjourney generiert wurden, ein Copyright zu beanspruchen?

Copyright kann nur beansprucht werden, wenn Werke menschlicher Urheberschaft sind. Da Bilder, die mithilfe der Midjourney-Technologie erzeugt wurden, kein Produkt eigenständiger menschlicher Urheberschaft sind, kann daher auch kein Copyright beansprucht werden.

Ob ein überwiegender Anteil menschlicher Schöpfungskraft zu einer Urheberschaft führt, z.B. durch weitere Bearbeitung der Bilder, wird Gegenstand von Gerichtsverfahren werden.

Anfang des Jahres gab es dazu auch eine Entscheidung des United States Copyright Office.

Die amerikanische Behörde lehnte in einem Schreiben den Antrag auf Copyright auf ein von Midjourney erstelltes Bild ab (erkennt aber ihre Rechte am Sammelwerk an: „Copyright therefore protects Ms. Kashtanova’s authorship of the overall selection, coordination, and arrangement of the text and visual elements that make up the Work.“)

Wer haftet, wenn ein Unternehmen KI-Services wie z.B. ChatGPT in eigene Produkte integriert und diese Produkte dann wegen ChatGPT einen Schaden verursachen?

Grundsätzlich sind Texte, die von ChatGPT generiert werden, immer auf ihre Plausibilität zu überprüfen und zu verifizieren. Es handelt sich hierbei lediglich um eine Textgenerierung mit keiner Garantie auf Richtigkeit.

Zudem wird durch die Nutzungsbedingungen der Hersteller klargestellt, dass für Richtigkeit von Informationen nicht gehaftet wird. Zwar gibt es die gesetzlichen Haftungsnormen nach ProduktHaftG und Produzentenhaftung, wonach der Hersteller von Produkten nach bestimmten Voraussetzungen für Schäden haftet. Im Fall von KI dürfte es aber immer am Verschulden (bei Produzentenhaftung) bzw. am „Fehler“ (bei Produkthaftung) mangeln, so dass die Hersteller haftungsrechtlich bis auf Weiteres außen vor sind.

Es haftet also die Person bzw. das Unternehmen, das die KI oder die Ergebnisse der KI einsetzt, nach den allgemeinen gesetzlichen Normen.

Was muss man datenschutzrechtlich beachten, wenn man als Verantwortlicher KI-Anwendungen zur Nutzung durch die Mitarbeitenden freigibt?

Grundsätzlich kann Mitarbeitern die Möglichkeit eingeräumt werden, KI-Anwendung für die interne Recherche zu verwenden. Wichtig: es dürfen keine vertraulichen Unternehmensdaten oder personenbezogene (Kunden)Daten zur Textgenerierung in das Tool eingegeben werden, da diese Informationen dann wiederum für das Weiterlernen der KI genutzt werden.

Bei der Verwendung von KI-Anwendungen muss immer äußerste Vorsicht geboten werden, wenn personenbezogene Daten genutzt werden. Es sollten intern Regeln aufgestellt werden, wie die KI genutzt werden kann

1. Unterscheiden Sie „interne“ Tools, die nur für Ihr Unternehmen/Ihre Organisation eingesetzt werden und externe Tools, wie Midjourney oder ChatGPT.
2. Interne Tools: allgemeine Datenschutzregeln beachten, wie

• Wahrung der Betroffenenrechte
• Verantwortlichkeit und Auftragsverarbeitung
• Informationspflichten
• Transparenzgebot
• Löschpflichten
• Widerspruchsmöglichkeit

Regeln für den Einsatz externer KI-Tools - Ideen:

1. Datenschutz und Datensicherheit: Keine sensiblen Informationen in die KI-Systeme geben und keine personenbezogenen Daten verwenden.
2. Transparenz: Kommunizieren Sie klar, wenn Sie KI-Tools oder -Assistenten in Ihrer Arbeit einsetzen. Erläutern Sie, wie KI-Systeme funktionieren, wenn Sie sie Kollegen oder Kunden präsentieren.
3. Ethik und Fairness: Melden Sie mögliche ethische Bedenken oder Probleme mit KI-Systemen Ihrem Vorgesetzten oder der entsprechenden Abteilung.
4. Verantwortung: Seien Sie sich bewusst, dass Sie für die Ergebnisse und Entscheidungen verantwortlich sind, die Sie mit Hilfe von KI treffen.
5. Qualitätskontrolle: Überprüfen Sie regelmäßig die Genauigkeit und Qualität der von KI-Systemen gelieferten Ergebnisse. Korrigieren Sie Fehler im System und stellen Sie sicher, dass die Ergebnisse den Anforderungen des Unternehmens entsprechen.
6. Nachhaltigkeit: Nutzen Sie KI-Systeme nachhaltig und ressourceneffizient, um Umweltauswirkungen zu minimieren.

Achtung: Es sind derzeit nur Modelle, keine Wissensdatenbanken oder „Partner“.

Wann darf man Kundendaten nutzen, um kundenspezifische Modelle zu trainieren?

Bei Kundendaten handelt es sich um personenbezogene Daten.

Art. 4 DSGVO- Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Personenbezogene Daten dürfen genutzt werden, wenn eine Rechtsgrundlage nach Art. 6 DSGVO zur Verarbeitung vorliegt.

Denkbar wäre vor allem eine ausdrückliche Einwilligung der Kunden, dass ihre Daten für das Training kundenspezifischer Modelle weiterverwendet werden dürfen.

Sofern eine Anonymisierung der Daten möglich wäre, wäre der Anwendungsbereich der DSGVO gar nicht eröffnet und es bestünden keine datenschutzrechtlichen Anforderungen.

Die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO müssen stets eingehalten werden. Andernfalls ist eine Nutzung nicht erlaubt.

EDSA-Stellungnahme zum KI-Training mit personenbezogenen Daten vom 17.12.2024

Der Europäische Datenschutzausschuss (EDSA) hat in einer Stellungnahme die Verwendung personenbezogener Daten für die Entwicklung und den Einsatz von KI-Modellen untersucht, wobei der Schwerpunkt auf der Einhaltung der Datenschutz-Grundverordnung (DSGVO) liegt. Ziel ist es, eine verantwortungsvolle KI-Nutzung sicherzustellen, die ethisch und sicher ist und den Schutz personenbezogener Daten gewährleistet. Die Stellungnahme analysiert insbesondere drei zentrale Aspekte: Wann und wie ein KI-Modell als anonym gelten kann, inwiefern berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung personenbezogener Daten herangezogen werden kann, und welche Konsequenzen entstehen, wenn ein KI-Modell auf Grundlage unrechtmäßig verarbeiteter Daten entwickelt wurde.

Für die Anonymität eines KI-Modells betont die Stellungnahme, dass Datenschutzbehörden von Fall zu Fall prüfen sollten, ob ein Modell anonym ist. Ein KI-Modell kann als anonym gelten, wenn es äußerst unwahrscheinlich ist, dass Personen, deren Daten verwendet wurden, direkt oder indirekt identifiziert werden können, oder dass personenbezogene Daten durch Abfragen aus dem Modell extrahiert werden können. Die Stellungnahme liefert eine unverbindliche Liste von Methoden, die zur Überprüfung der Anonymität eingesetzt werden können.

Beim Thema „berechtigtes Interesse“ enthält die Stellungnahme allgemeine Überlegungen, die bei der Prüfung dieser Rechtsgrundlage zu berücksichtigen sind. Ein dreistufiger Test wird vorgestellt, um zu beurteilen, ob die Verarbeitung auf berechtigtem Interesse basieren kann. Beispiele wie der Einsatz von KI für Cybersicherheit oder Konversationsagenten zeigen, dass dies möglich ist, wenn die Verarbeitung notwendig und verhältnismäßig ist und die Rechte der Betroffenen gewahrt bleiben. Der EDSA hebt hervor, dass die vernünftigen Erwartungen der Betroffenen berücksichtigt werden müssen, zum Beispiel in Bezug auf die öffentliche Verfügbarkeit ihrer Daten, die Beziehung zum Verantwortlichen oder den Kontext der Datenerhebung.

Die Stellungnahme stellt zudem Abhilfemaßnahmen vor, die negative Auswirkungen auf Betroffene begrenzen können, wenn der Abwägungstest zeigt, dass die Verarbeitung potenziell schädlich ist. Solche Maßnahmen könnten technische Schutzvorkehrungen, eine erleichterte Ausübung von Betroffenenrechten oder erhöhte Transparenz umfassen.

Ein weiterer wichtiger Punkt betrifft die Entwicklung von KI-Modellen mit unrechtmäßig verarbeiteten personenbezogenen Daten. In solchen Fällen kann die Rechtmäßigkeit des Modells in Frage gestellt sein, es sei denn, das Modell wurde ordnungsgemäß anonymisiert.

Die Stellungnahme dient als Orientierungshilfe für Datenschutzbehörden und Unternehmen, um die komplexen rechtlichen und ethischen Anforderungen der KI-Nutzung zu erfüllen. Aufgrund der schnellen technologischen Entwicklungen arbeitet der EDSA zudem an spezifischen Leitlinien zu Themen wie Web Scraping, um zusätzliche Klarheit und Rechtssicherheit zu schaffen.

• Pressemitteilung der EDSA

Soll man einer neuen Nutzungsrechteklausel bei einem wissenschaftlichen Verlag zustimmen?

Bei der Unterzeichnung einer Nutzungsrechteklausel ist das Thema "Urherrecht" in Betracht zu ziehen.

Ausweitung der Nutzungsrechte der wissenschaftlichen Artikel zugunsten eines Verlages „das Werk oder Teile davon in eigenen oder fremden Datenbanken zu speichern, damit eine automatische Analyse Informationen über dessen Muster und Merkmale gewinnen kann und dadurch maschinelles Lernen zu ermöglichen“:

• Die KI-Lizenz diene ausschließlich internen Zwecken,
• Die Nutzung von geschützten Werken für das KI-Training sei laut VG WORT nur zulässig, soweit ein späterer Output intern innerhalb des Unternehmens verwendet wird (mit sehr wenigen Ausnahmen),
• Der Output der trainierten KI dürfe laut VG WORT nicht als Produkt oder Service an Kunden oder andere Nutzer weitergegeben werden-

--> Hier würde also eine neue „Nutzungsart“ eingeräumt werden.

--> Problem: Nachverfolgbarkeit hinsichtlich Korrektheit der Nutzungsrechte. Bei LLM werden die urheberrechtlichen Inhalte eines bestimmten Urhebers nicht mehr bestimmbar sein – Problem der Vergütung, z.B. über VG Wort.

Welche datenschutzrechtlichen Folgen ergeben sich aus der Unterzeichnung von Verträgen hinsichtlich der Nutzungseinräumung zur Weiterverwendung von wissenschaftlichen Artikeln über KI?

Bei der Unterzeichnung einer Nutzungsrechteklausel ist ebenso das Thema "Datenschutz" in Betracht zu ziehen.

• Übertragung der Rechte und geistiges Eigentum à nicht mehr kontrollierbarer Zustand
• personenbezogene Daten, die eventuell in den Werken genannt wurden, werden unkontrolliert weiterverarbeitet

--> Problem: (Personenbezogene) Daten, welchen einmal einen Eingang in die KI-Modelle gefunden haben, können von der KI nicht mehr gelöscht werden können, da dies technisch gar nicht möglich ist. Sie können in der Ausgabe „blockiert“ werden.

--> Ausübung von Betroffenenrechten ist nicht mehr möglich

Beschwerde und Bußgeld gegen Open AI

noyb hat im April 2024 eine Beschwerde gegen OpenAI eingereicht. Die von Datenschutz-Aktivist Max Schrems mitbegründete Organisation warf OpenAI vor, im Fall einer nicht namentlich genannten "Person des öffentlichen Lebens" falsche persönliche Daten anzugeben, ohne die gesetzlich vorgeschriebene Möglichkeit einer Berichtigung oder Löschung einzuräumen. Noyb beruft sich dabei auf die Datenschutz-Grundverordnung der EU. Sie wirft OpenAI vor, den Menschen in Europa ihre Rechte nach der DSGVO zu verweigern, indem sie falsche Informationen verbreiten und keine angemessene Reaktion auf Auskunftsersuchen bieten. Maartje de Graaf, Datenschutzjuristin bei Noyb, betonte, dass Unternehmen verpflichtet sind, Auskunftsersuchen zu beantworten und transparent zu sein. Noyb und der Betroffene fordern nun die österreichische Datenschutzbehörde (DSB) auf, die Datenverarbeitungspraktiken von OpenAI zu untersuchen und gegen das Unternehmen vorzugehen, um die Einhaltung der Datenschutzvorschriften sicherzustellen.

noyb fordert daher eine Untersuchung der Datenverarbeitungspraktiken von OpenAI durch die österreichische Datenschutzbehörde und fordert Maßnahmen zur Sicherstellung der Richtigkeit persönlicher Daten sowie die Einhaltung der DSGVO.

• Beschwerde gegen OpenAI (DE)

Mehr Infos

15 Millionen Bußgeld gegen OpenAI

OpenAI wurde im Dezember 2024 aufgrund von Datenschutzverstößen bei ChatGPT mit einer Geldstrafe von 15 Millionen Euro belegt und muss eine sechsmonatige Informationskampagne durchführen. Die Vorwürfe umfassen die fehlende Meldung eines Datenschutzverstoßes, unzureichende Transparenz bei der Datenverarbeitung zur KI-Training, fehlende Altersüberprüfung und Verstöße gegen die DSGVO-Grundsätze.

Die Kampagne soll Nutzer und Nichtnutzer über die Datenverarbeitung, ihre Rechte (z. B. Widerspruch, Berichtigung, Löschung) und die Möglichkeit, der Nutzung ihrer Daten zu widersprechen, informieren. Die Strafe berücksichtigt die Kooperation von OpenAI. Da OpenAI inzwischen seinen Hauptsitz in Irland hat, wurde die irische Datenschutzbehörde (DPC) mit der weiteren Aufsicht betraut.

Mehr Infos

Stand: Dezember 2024