Die LDI NRW hat sich im April 2023 mit einem Beitrag mit dem Titel Nach dem Verbot von ChatGPT in Italien zu den Folgen des von der Aufsichtsbehörde Italiens ausgesprochenen Verbotes der Verarbeitung von personenbezogenen Daten italienischer Nutzer durch den Anbieter von ChatGPT, OpenAI, geäußert. Zunächst wird eine Einschätzung vorgenommen, wodurch das Verbot begründet ist,
- die unzureichende Information der Nutzer,
- die umfangreiche Verarbeitung von personenbezogenen Daten zu Trainingszwecken ohne Rechtsgrundlage,
- die unrichtige Verarbeitung von für das Training verwendeten personenbezogenen Daten,
- die Missachtung von Vorgaben zum Jugendschutz und
- eine Datenpanne, bei welcher Nutzerdaten offengelegt wurden.
Die Zuständigkeit bezüglich datenschutzrechtlicher Fragen bei der Verarbeitung von personenbezogenen Daten durch Plattformen wie ChatGPT liegt in Deutschland bei den Landesdatenschutzbehörden. Die Datenschutzkonferenz (DSK) nimmt sich des Themas nun an und führt eine koordinierte Prüfung zu ChatGPT durch. Dazu werden zunächst weitere Informationen von OpenAI eingeholt und dann gemeinsam ausgewertet. Es geht um Informationen „beispielsweise zu den Datenquellen oder zu den Algorithmen hinter der automatisierten Datenverarbeitung und zur Weitergabe an Dritte mit kommerziellen Interessen.“
Bewertung
Zu welchem Ergebnis die Aufsichtsbehörden kommen werden, ist derzeit noch offen. Werden sie sich den Einschätzungen der italienischen Aufsichtsbehörde anschließen? OpenAI dürfte mittlerweile begonnen haben, nachzubessern. Die Datenschutzerklärung hat aktuell den Stand vom 07.04.2023. Von Seiten der italienischen Aufsichtsbehörde wurden Bedingungen genannt, welche OpenAI erfüllen muss, damit das Verbot aufgehoben werden kann.1siehe hierzu beispielsweise https://www.heise.de/news/ChatGPT-Italienische-Datenschutzbehoerde-stellt-Bedingungen-fuer-Betrieb-8953957.html Man dürfte davon ausgehen, dass auch die DSK Probleme sehen und anmahnen wird, möglicherweise sogar noch andere, als von der italienischen Aufsichtsbehörde beschrieben. Anders als bei Microsoft 365, wo es zwar einen einstimmigen Beschluss der DSK gab, die Umsetzung in den einzelnen Bundesländern dann jedoch nicht mit der daraus zu erwartenden Konsequenz erfolgte, werden die Aufsichtsbehörden der Bundesländer im Falle ChatGPT ziemlich sicher sehr konsequent und einheitlich handeln.
Welche Folgen die Prüfungen durch die DSK und die Ergebnisse daraus für Schulen haben werden, ist schwierig abzuschätzen. Sollte es zu einem Verbot der Verarbeitung von personenbezogenen Daten deutscher Nutzer durch OpenAI kommen, dürfte der Anbieter, ähnlich wie in Italien, den Zugang zur Plattform für deutsche IP Nummern sperren, um möglichen Bußgeldern durch die Aufsichtsbehörden zu entgehen. An erster Stelle träfe dieses deutsche Nutzer mit einem persönlichen Konto. Das könnte auch Anbieter treffen, die ChatGPT für Schulen über die API Schnittstelle bereitstellen. Auch wenn bei einer datenschutzfreundlichen Bereitstellung über die API einige der Kritikpunkte der italienischen Aufsichtsbehörde nicht zum Tragen kommen, so bleiben doch einige übrig.