Update: ChatGPT bessert beim Datenschutz nach und Fortschritte beim AI Act im EU Parlament

Die italienische Datenschutzbehörde Garante hat die Sperrung von OpenAI's ChatGPT in Italien wieder aufgehoben. Die Sperre war Ende März verhängt worden, nachdem Bedenken hinsichtlich der mangelnden Transparenz im Umgang mit Nutzerdaten sowie des unzureichenden Jugendschutzes aufgekommen waren (wir berichteten). Nach intensiven Verhandlungen mit dem Entwickler OpenAI wurde ChatGPT in Italien Ende letzter Woche „mit verbesserter Transparenz und verbesserten Rechten für europäische Benutzer“ wieder freigeschaltet.

Eine der Bedingungen der italienischen Behörde, die erfüllt wurde, ist der selbstbestimmtere Umgang mit den Daten, die in den Chatbot eingegeben werden. Seit kurzer Zeit besteht für alle User die Möglichkeit, in den Einstellungen der Speicherung von Chats in der Chathistorie und damit der Nutzung seiner Daten zu Trainingszwecken zu widersprechen. Für User in der EU wurde jetzt schon ein Formular bereitgestellt, das den Widerspruch auch ohne Löschung der Chats ermöglicht. Zudem wurde eine Altersprüfung für neue User in Italien vorgeschaltet. Die italienische Datenschutzbehörde begrüßte die Kooperationsbereitschaft von OpenAI, gab jedoch bekannt, die Prüfung vorerst noch nicht zu beenden.

Das Unternehmen reagiert auf wachsende datenschutzrechtliche Bedenken mit mehr Aufklärung und immer neuen Funktionen. So soll in den nächsten Monaten „ChatGPT Business“ eingeführt werden, das ein anfängliches Opt-Out für die Nutzung von Daten zu Trainingszwecken ermöglicht. Diese Einstellung, die es bis jetzt nur für die OpenAI API gibt, soll zusätzliche Sicherheit für den Einsatz der KI in Unternehmen schaffen. Auch andere Anbieter nutzen die Gelegenheit, um datenschutzfreundlichere Gestaltungen des GPT-Sprachmodells auf den Markt zu bringen. So ermöglicht der Entwickler Private AI Usern mit seinem Tool PrivateGPT, automatisch personenbezogene Daten aus User Prompts herauszufiltern. Auch Microsoft arbeitet an einer Business-Version von ChatGPT, die auf eigenen Servern laufen soll, insbesondere für datenschutzsensible Branchen wie Banken oder Gesundheitswesen.

Die rasante Entwicklung von ChatGPT hat inzwischen Gesetzgeber und Regulierungsbehörden in ganz Europa auf den Plan gerufen. Insbesondere auf die KI-Verordnung (AI Act) der europäischen Kommission haben die jüngsten Entwicklungen großen Einfluss. Medienberichten zu Folge, haben sich die zuständigen Unterhändler des EU Parlaments Ende letzte Woche auf die finalen Punkte des Entwurfs zur KI-Verordnung für das weitere Verfahren geeinigt.

Die zuletzt schwer diskutierte Frage, ob generative KI (insbesondere KI-Systeme wie ChatGPT, Midjourney etc.) per se als sog. Hochrisiko-KI-Systeme eingestuft werden sollen (wir berichteten), wurde hierbei laut der Berichte zu Lasten einer solchen pauschalen Einordnung beantwortet. Grundsätzlich scheint die Mechanik der Einordnung als Hochrisiko-KI-System mit einer zusätzlichen „Stufe“ etwas entschärft worden zu sein, so dass nun möglicherweise KI-Systeme, die als Teil der festgelegten Kategorien in Anhang 3 der Verordnung automatisch als Hochrisiko-KI-System eingestuft werden sollten, diese Einstufung nur bekommen, wenn das System zusätzlich dabei auch eine erhebliche Gefahr für die Gesundheit, die Sicherheit oder die Grundrechte darstellt.

Dennoch führte die Diskussion rund um die generativen KI-Systeme wohl zu einer „Last-minute“ Ergänzung des Entwurfs. So wird berichtet, dass ein weiterer Artikel mit erhöhten Pflichten für die Entwickler solcher KI-Systeme gelten soll. Solche KI-Systeme sollen nach den von ihnen ausgehenden Risiken überprüft werden und ggf. entsprechende Gegenmaßnahmen ergriffen werden. Es sollen bestimmte Anforderungen an die Datenqualität sowie Cybersicherheit erfüllt werden. Außerdem sind die zum Training der Systeme verwendeten Daten zu dokumentieren. Über die ganz konkreten Anforderungen geht die Berichterstattung zum jetzigen Zeitpunkt teilweise noch auseinander.

Sofern dies tatsächlich so beschlossen wäre, hieße dies natürlich nicht, dass eine solche generative KI grundsätzlich nicht als Hochrisiko-KI-System im Sinne der Verordnung einzustufen wäre – es käme vielmehr auf den konkreten Einsatzbereich des jeweiligen Systems und der oben erwähnten Einordnung unter Anhang 3 im Einzelfall an. Am 11. Mai soll entsprechend der zuständige Ausschuss final abstimmen und es wird erwartet, dass über den finalen Text Mitte Juni im Plenum abgestimmt wird.