KI: noyb geht gegen OpenAI, Meta und X vor
Mit mehreren Breitseiten von Beschwerden geht die Datenschutzorganisation noyb gegen den Einsatz Künstlicher Intelligenz (KI) durch die Tech-Giganten OpenAI (ChatGPT), Meta (Facebook, WhatsApp, Instagram) und X (ehemals Twitter) vor. Dabei geht es noyb nicht um die KI-Systeme selbst, sondern um deren datenschutzkonformen Einsatz und deren datenschutzkonformes Training. Im Fall von Meta konnte noyb bereits einen Teilerfolg erzielen.
Bei den europäischen Datenschutzbehörden hat die Datenschutzorganisation noyb in den vergangenen Monaten gleich eine ganze Reihe von Beschwerden gegen die jüngsten KI-Aktivitäten des ChatGPT-Anbieters OpenAI, des Meta-Konzerns, zu dem Facebook, WhatsApp und Instagram gehören, sowie gegen Twitter International, dem Anbieter von X (vormals Twitter), eingereicht.
NOYB |
ChatGPT erfindet falsche Informationen, die sich weder berichtigen noch löschen lassen
Am 26.4.2024 hat noyb zusammen mit einem betroffenen Bürger eine Beschwerde gegen den ChatGPT-Anbieter OpenAI eingereicht. Das KI-Programm, so noyb, erfinde "falsche Informationen über Personen", ohne die gesetzlich vorgeschriebene Möglichkeit einer Berichtigung oder Löschung einzuräumen. Das Grundproblem dabei ist struktureller Art: OpenAI kann nicht garantieren, dass die Informationen, die ChatGPT liefert, korrekt sind. Bei Informationen über Einzelpersonen sei dies inakzeptabel. Seit 1995 besage das EU-Recht, dass persönliche Daten korrekt sein müssen, was auch in Art. 5 DSGVO verankert sei. Personen hätten nach Art. 16 DSGVO auch ein Recht auf Berichtigung inkorrekter Informationen. Außerdem müssten Unternehmen gem. Art. 15 DSGVO nachweisen können, welche Daten sie über Einzelpersonen gespeichert haben und aus welche Quellen diese Daten stammen.
Im konkreten Fall lehnte OpenAI einen Antrag des Beschwerdeführers auf Berichtigung oder Löschung seiner Daten ab, obwohl dessen Geburtsdatum von ChatGPT falsch angegeben wird. Die Ablehnung wurde damit begründet, dass eine Korrektur der Daten nicht möglich sei. OpenAI hat außerdem nicht auf das Auskunftsersuchen des Beschwerdeführers reagiert und weder eine Kopie seiner verarbeiteten persönlichen Daten vorgelegt noch deren Quellen und Empfänger genannt.
In seiner Datenschutzbeschwerde fordert noyb die österreichische Datenschutzbehörde (DSB) zu einer Untersuchung der Datenverarbeitungspraktiken von OpenAI auf. Im Mittelpunkt steht dabei die Frage, welche Maßnahmen das Unternehmen zur Sicherstellung der Richtigkeit persönlicher Daten getroffen hat. Außerdem fordert noyb, dass OpenAI dem Auskunftsbegehren des Beschwerdeführers nachkommt und seine Verarbeitung in Einklang mit der DSGVO bringt. Um die zukünftige Einhaltung der Vorschriften sicherzustellen, fordert noyb die DSB auch zur Verhängung eines Bußgelds auf.
Verwendung persönlicher Daten und Inhalte ohne Zustimmung der Nutzer für KI-Technologie durch Meta
Am 6.6.2024 hat noyb gleichzeitig bei 11 europäischen Datenschutzbehörden Datenschutzbeschwerden gegen Meta eingereicht. Darin verlangt noyb von den Behörden, ein Dringlichkeitsverfahren einzuleiten und den Missbrauch persönlicher Daten für KI durch Meta zu stoppen. Meta hatte kurz zuvor seine Datenschutzrichtlinien angepasst und sich das Recht eingeräumt, persönliche Posts, private Bilder oder Daten aus dem Online-Tracking für eine nicht näher definierte „KI-Technologie“ benutzen zu können, ohne dafür die Zustimmung der Nutzer einzuholen. noyb kritisiert außerdem das von Meta angebotene „trügerische und komplizierte“ Opt-out-Verfahren, mit dem Nutzer der Verwendung ihrer Daten widersprechen können.
Unternehmen ist die Verarbeitung persönlicher Daten in der EU grundsätzlich verboten. Gemäß Art. 6 (1) DSGVO müssen sich Unternehmen dafür auf eine von sechs Rechtsgrundlagen berufen. Bei der Anpassung seiner Datenschutzrichtlinien argumentiert Meta damit, dafür die Rechtsgrundlage des „berechtigten Interesses“ für die Datenverarbeitung zu haben. Im Zusammenhang mit der Verwendung persönlicher Daten für Werbezwecke hatte der Europäische Gerichtshof diese Begründung bereits abgelehnt (C-252/21).
Angesichts der Tatsache, dass noyb maßgeblich dafür gesorgt hat, dass Meta in der Vergangenheit DSGVO-Bußgelder in einer Gesamthöhe von etwa 1,5 Milliarden EUR zahlen musste, hat das Unternehmen als Reaktion auf die 11 Beschwerden von noyb seine KI-Pläne in der EU gestoppt. Schon am 14.6.2024 gab Meta bekannt, dass es sich gegenüber der irischen Datenschutzbehörde DPC (Data Protection Commission) verpflichtet hat, keine EU/EWR-Nutzerdaten für undefinierte „Techniken der künstlichen Intelligenz“ zu verarbeiten.
X nutzt seit Mai 2024 persönliche Nutzerdaten unrechtmäßig für das KI-Training
Am 12.8.2024 hat noyb bei 9 europäischen Datenschutzbehörden Datenschutzbeschwerden gegen die KI-Pläne von X (ehemals Twitter) eingereicht. Twitter International hat bereits im Mai 2024 ohne Vorankündigung damit begonnen, die persönlichen Daten von mehr als 60 Millionen Nutzern in Europa unrechtmäßig zu verwenden, um seine KI-Technologien (die bekannteste davon ist „Grok“) ohne deren Einwilligung zu trainieren. Das ging selbst der als „unternehmensfreundlich“ geltenden und oft wenig aktiven irischen Datenschutzkommission DPC zu weit: Sie leitete am 6.8.2024 ein Gerichtsverfahren ein, um die rechtswidrige Verarbeitung zu stoppen. Nach Ansicht von noyb ist die DPC aber nicht bereit, die DSGVO vollständig durchzusetzen, sodass noyb am 12.8.2014 mit seinen Beschwerden bei 9 Datenschutzbehörden umgehend nachlegte.
Wie sich Anfang August bei der Gerichtsanhörung herausstellte, ging es der DPC lediglich „Risiko-Eindämmungs-Maßnahmen“, nicht aber um die Rechtmäßigkeit der Verarbeitung. In seinen Beschwerden gegen Twitter International beantragte noyb daraufhin eine umfassende Untersuchung, um sicherzustellen, dass die zentralen datenschutzrechtlichen Probleme beim KI-Training von X (ehemals Twitter) vollständig gelöst werden. Dadurch, dass noyb gleich mehrere europäische Datenschutzbehörden beteiligt, soll der Druck auf die DPC erhöht werden, X (ehemals Twitter) tatsächlich dazu zu zwingen, EU-Recht einzuhalten.
Da X (ehemals Twitter) bereits mit der Verarbeitung der persönlichen Daten für seine KI-Technologie begonnen hat, hat noyb ein „Dringlichkeitsverfahren“ gem. Art. 66 DSGVO beantragt. Artikel 66 ermächtigt die Datenschutzbehörden, vorläufige Maßnahmen zu treffen, und ermöglicht eine gesamteuropäische Entscheidung über den Europäischen Datenschutzausschuss (EDSA).
Neben dem Fehlen einer Rechtsgrundlage für die Datenverarbeitung bemängelt noyb in seinen Beschwerden, dass X (ehemals Twitter) nicht ordnungsgemäß zwischen den Daten von Nutzern in der EU/EWR und anderen Ländern unterscheiden kann. Außerdem sieht noyb Verstöße gegen Art. 5 (1) und (2), 6 (1), 9 (1), 12 (1) und (2), 13 (1) und (2), 17 (1) (c), 18 (1) (d), 19, 21 (1) und 25 DSGVO.
Weiterführende Links:
noyb-Beschwerde gegen OpenAI vom 29.04.2024
noyb-Beschwerde gegen Meta vom 06.06.2024
noyb-Beschwerde gegen Twitter International vom 12.08.2024
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Microsoft Advertising haftet bei fehlender Einwilligung automatisch gesetzter Cookies
28.11.2024
-
Rückbeteiligung bei Unternehmensverkäufen: Chancen und Herausforderungen
26.11.2024
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
25.11.2024
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024