Auf die Frage nach dem Geburtstag des Beschwerdeführers – einer namentlich nicht benannten Person des öffentlichen Lebens – habe ChatGPT wiederholt ein falsches Datum mitgeteilt, anstatt den Nutzern mitzuteilen, dass die notwendigen Daten für die Auskunft fehlen, berichtet noyb. In der Folge sei OpenAI seiner in Bezug auf Personendaten bestehenden Auskunftspflicht nicht nachgekommen und habe den Antrag des Beschwerdeführers auf Berichtigung oder Löschung seiner Daten abgelehnt, so die von Datenschutz-Aktivist Max Schrems mitbegründete Organisation.
Dabei besage das EU-Recht bereits seit 1995, dass persönliche Daten korrekt sein müssen, erinnert noyb. Mittlerweile sei dies in Art. 5 DS-GVO verankert. Personen hätten laut Art. 16 DS-GVO außerdem ein Recht auf Berichtigung inkorrekter Informationen – und die Möglichkeit, ihre Löschung zu verlangen. Darüber hinaus müssten Unternehmen gemäß dem Auskunftsrecht in Art. 15 DS-GVO nachweisen können, welche Daten sie über Einzelpersonen gespeichert haben und aus welchen Quellen sie stammen.
OpenAI kann keine korrekten Informationen garantieren
OpenAI selbst habe erklärt, dass ChatGPT "Antworten auf Benutzeranfragen generiert, indem es die nächstwahrscheinlichsten Wörter vorhersagt, die als Antwort auf die jeweilige Frage vorkommen könnten". Das Unternehmen könne aktuell nicht garantieren, dass Nutzer und Nutzerinnen korrekte Informationen erhalten, so noyb. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden", betont Maartje de Graaf, Datenschutzjuristin der Organisation. Die Technologie müsse den rechtlichen Anforderungen folgen, nicht umgekehrt. OpenAI sei sich dieses Problems bewusst. Anstatt etwas zu verändern, argumentiere das Unternehmen jedoch einfach, dass "faktische Genauigkeit in großen Sprachmodellen ein Bereich aktiver Forschung bleibt".
Auf das Auskunftsersuchen des Beschwerdeführers habe OpenAI die verarbeiteten Daten, ihre Quellen oder Empfänger nicht offengelegt. Die Verpflichtung, einem Auskunftsersuchen nachzukommen, gelte aber für alle Unternehmen. "Es ist selbstverständlich möglich, die verwendeten Trainingsdaten zu protokollieren, um zumindest eine Vorstellung von den Informationsquellen zu erhalten", sagte de Graaf. "Es scheint, dass mit jeder ‚Innovation‘ eine andere Gruppe von Unternehmen meint, dass ihre Produkte nicht mit dem Gesetz übereinstimmen müssen."
Datenverarbeitungspraktiken auf dem Prüfstand
Den Antrag des Beschwerdeführers auf Berichtigung oder Löschung der falschen Daten über seine Person habe OpenAI abgelehnt – mit dem schlichten Argument, eine Korrektur sei nicht möglich. Man könne zwar Daten bei bestimmten Anfragen blockieren (zum Beispiel den Namen des Beschwerdeführers), aber nicht ohne ChatGPT daran zu hindern, alle Informationen über den Beschwerdeführer zu filtern. Auch dies ein Verstoß gegen die DS-GVO, so noyb.
Mit ihrer Beschwerde fordern die Datenschützer die österreichische Datenschutzbehörde zu einer Untersuchung der OpenAI-Datenverarbeitungspraktiken auf. Zu klären sei, welche Maßnahmen das Unternehmen zur Sicherstellung der Richtigkeit persönlicher Daten getroffen hat. Darüber hinaus fordert noyb, dass OpenAI dem Auskunftsbegehren des Beschwerdeführers nachkommt und seine Verarbeitung in Einklang mit der DS-GVO bringt. Um die zukünftige Einhaltung der Vorschriften sicherzustellen, fordert noyb die Datenschutzbehörde auf, ein Bußgeld gegen OpenAi zu verhängen.
