Auch nach der Beantwortung erster Fragen durch den amerikanischen ChatGPT-Betreiber OpenAI ist die datenschutzrechtliche Bewertung der Software in Deutschland noch nicht abgeschlossen. Die Antworten von OpenAI haben weitere Fragen aufgeworfen. Deshalb haben deutsche Aufsichtsbehörden einen weiteren, zweiten Fragenkatalog verfasst und OpenAI um Beantwortung gebeten.
Nachdem Italien ChatGPT im Frühjahr verboten hatte, hatten deutsche Datenschutz-Behörden – darunter auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) – ein Auskunftsersuchen an OpenAI geschickt. Die Fragen wurden innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitet, die Federführung daran hatte Rheinland-Pfalz.
Die Fragen wurden vom amerikanischen Unternehmen inzwischen beantwortet, bei der Auswertung der Antworten ergaben sich aber Nachfragen. Künstliche Intelligenz muss transparent sein. Transparenz ist einerseits notwendig, um zu prüfen, ob alle Verarbeitungsprozesse rechtmäßig passieren. Andererseits schafft nur Transparenz auch das nötige Vertrauen in diese Technologie, um sie künftig zum Nutzen des Allgemeinwohls einsetzen zu können.
Deshalb liegt ein Schwerpunkt der Nachfragen auf der vertieften Prüfung, ob die Verarbeitung personenbezogener Daten in ChatGPT rechtmäßig erfolgt. Dabei stehen die besonderen Datenkategorien, also beispielsweise Angaben zur Religion, zur Gesundheit oder zur sexuellen Orientierung im Fokus (vgl. Art. 9 Datenschutz-Grundverordnung). Auch die Verwirklichung der Rechte betroffener Personen auf Auskunft sowie Berichtigung und Löschung personenbezogener Daten wird kritisch beleuchtet. Nicht zuletzt soll geklärt werden, ob und in welcher Weise personenbezogene Daten beim Training und bei der Nutzung von ChatGPT zuverlässig als solche erkannt und aussortiert werden – oder wie eine datenschutzkonforme Verarbeitung anderweitig sichergestellt werden soll.
Da das US-Unternehmen bislang keine Niederlassung in der Europäischen Union (EU) hat, sind alle europäischen Datenschutzaufsichtsbehörden für die Überwachung der Einhaltung der Datenschutz-Grundverordnung durch OpenAI gleichermaßen zuständig. Sollte OpenAI eine Niederlassung in Irland eröffnen, was in Aussicht gestellt wurde, würde die LDI NRW dann in Kooperation mit der für die Hauptniederlassung zuständigen Aufsichtsbehörde weiterhin an der Prüfung beteiligt sein.
Der zweite Fragenkatalog wurde von der Taskforce KI innerhalb der DSK erneut unter Federführung der Aufsichtsbehörde in Rheinland-Pfalz erarbeitet.