Legal Watch Nr. 58 – April 2023.

ChatGPT: Welcher Rechtsrahmen gilt für neue Anwendungen künstlicher Intelligenz?

ChatGPT, Google Bard, Stable Diffusion und Dall-E sind Große Sprachmodelle (LLMs) eine Unterkategorie bestehender Sprachmodelle.

Sprachmodelle sind Computerprogramme, die entwickelt wurden, um Texte ähnlich wie ein Mensch zu verarbeiten und zu generieren.

Dazu gehören beispielsweise Spracherkennung, maschinelle Übersetzung, Text-zu-Sprache-Umwandlung und Inhaltsgenerierung. LLMs sind größer und komplexer als traditionelle Modelle.

Sie werden anhand sehr großer Textkorpora trainiert, die manchmal aus Millionen von Textseiten bestehen, und verwenden tiefe neuronale Netzwerkarchitekturen, um die Sprachverarbeitung zu erlernen.

Ein LLM kann somit eine unendliche Vielfalt an On-Demand-Inhalten bereitstellen, sei es ein Gedicht, ein Filmdrehbuch, ein Computerprogrammcode oder eine musikalische Komposition.

Die Informationen sind jedoch nicht mehr aktuell: ChatGPT wurde mit Informationen trainiert, die bis 2021 im Internet verfügbar waren.

Es ist daher sinnlos, ihn um aktuelle Informationen zu Datentransfers in die Vereinigten Staaten oder um einen Kommentar zu den jüngsten Sanktionen der CNIL zu bitten.

LLM-Studiengänge werfen viele rechtliche und ethische Fragen auf, insbesondere in Bezug auf Urheberrecht, Datenschutz, Desinformation und Diskriminierung.

In den letzten Wochen haben viele Regulierungsbehörden begonnen zu reagieren. die italienische Datenschutzbehörde in der Federführung.

Am 31. März erließ die Behörde eine Verfügung gegen OpenAI und blockierte ChatGPT in Italien, weil 

• aufgrund mangelnder Transparenz im Antragsverfahren
• mangels eines legitimen Grundes für die Verarbeitung,
• aufgrund mangelnder Gewährleistung der Genauigkeit der verarbeiteten Daten,
• das Fehlen einer Altersverifizierung und
• der allgemeinen Verletzung des Grundsatzes „Datenschutz durch Technikgestaltung“.

Kurz darauf folgte Deutschland, das begann, die Einhaltung der DSGVO durch ChatGPT zu prüfen: Das Land Schleswig-Holstein schickte OpenAI einen Fragebogen, den das Unternehmen bis zum 11. Juni beantworten sollte.

Der Europäische Datenschutzausschuss schloss sich dem an und richtete zusammen mit seinen nationalen Mitgliedern eine Arbeitsgruppe zu diesem Thema ein. Die Europäische Verbraucherorganisation (BEUC) wandte sich an das Netzwerk der Verbraucherschutzbehörden und das Netzwerk der Verbrauchersicherheitsbehörden (CPC- und CSN-Netzwerk) mit der Bitte, LLMs zu untersuchen.

Auf der anderen Seite des Atlantiks weist die Federal Trade Commission (FTC) ebenfalls darauf hin, dass bestehende US-Gesetze auf Branchenebene auch generative KI abdecken, warnt die Unternehmen jedoch davor, die Interessen der Verbraucher und die mit laufenden Implementierungen verbundenen Risiken unbedingt zu berücksichtigen.

Im Anschluss an diese Untersuchungen hat OpenAI bestimmte Maßnahmen ergriffen:

• Umsetzung des Widerspruchsrechts gegen die Datenverarbeitung;
• Erweiterung und verbesserte Sichtbarkeit der Datenschutzrichtlinie, Informationen über vorgenommene Aktualisierungen;
• Implementierung von Mechanismen zur Löschung ungenauer Informationen;
• Es wurden Formulare hinzugefügt, die es jedem europäischen Benutzer ermöglichen, seine Chats und den Verlauf der Daten, die zum Trainieren und Verbessern von Trainingsalgorithmen verwendet werden, zu filtern.
• Die Möglichkeit zum Exportieren von Daten und zum Überprüfen gespeicherter Informationen wurde hinzugefügt.

Obwohl ChatGPT in Italien wieder zugänglich ist, bleiben viele Fragen offen.

Die von Open AI bereitgestellten Sicherheitsvorkehrungen ermöglichen es den Nutzern der Anwendung, ihre eigenen Daten zu korrigieren oder zu löschen. Sie haben jedoch keinen Einfluss auf die Verarbeitung der Daten all jener, die die Anwendung nicht nutzen, was ernsthafte Bedenken hinsichtlich des Rufs aufwirft.

 Kürzlich beschuldigte ChatGPT einen Jura-Professor der sexuellen Belästigung; als angebliche Quelle diente ein Artikel, der nie geschrieben wurde.

Auch rassistische oder ethnische Vorurteile sind möglich. ChatGPT wurde mit Internetdaten trainiert und spiegelt daher wahrscheinlich gesellschaftliche Vorurteile wider, die im Internet existieren, und verstärkt diese.

Ein für medizinische Entscheidungen verwendeter Vorhersagealgorithmus hat somit zu voreingenommenen Entscheidungen gegenüber schwarzen Patienten geführt.

Obwohl die Entwickler des Algorithmus die Rasse als Messkriterium bei der Systemausführung ausschlossen, perpetuierte der Algorithmus weiterhin Vorurteile gegenüber schwarzen Patienten, indem er bestimmte wirtschaftliche Faktoren und Gesundheitskosten berücksichtigte.

Schließlich erhöhen sich auch die Risiken der Cyberkriminalität, wie etwa die Erstellung überzeugenderer Phishing-E-Mails oder das Erlernen neuer Angriffstechniken, wie in dem Bericht des britischen National Cyber Security Centre und der FTC in den Vereinigten Staaten hervorgehoben wird.

Man könnte sich fragen, warum die Entwickler von ChapGPT den Datenschutz nicht schon in der Entwurfsphase der Anwendung integriert haben, sondern erst im Einzelfall, abhängig von den Reaktionen der Regulierungsbehörden.

Open AI ist kein Neuling: Es wird seit 2016 von erfahrenen Mitgründern entwickelt und hat bereits sechs Finanzierungsrunden durchlaufen.

Derzeit wird das Unternehmen mit 29 Milliarden US-Dollar bewertet, und seine KI-basierten Tools sind über eine Partnerschaft mit Microsoft in nicht-KI-basierte Produkte integriert, die täglich von Millionen von Menschen genutzt werden.

Die Grundsätze des „Datenschutzes durch Technikgestaltung“ sind in einem solchen Kontext nicht nur wünschenswert, sondern integraler Bestandteil der Anforderungen der DSGVO.

Ihre Umsetzung sollte durch die Verabschiedung der künftigen europäischen Verordnung über KI weiter gestärkt werden, nach der Systeme mit hohem Risiko einem strengeren Regime unterliegen müssen, das Anforderungen an Risikomanagement, Transparenz und Daten-Governance umfasst.

Die neueste Fassung der Verordnung, die von den Abgeordneten des Europäischen Parlaments diskutiert wurde, verlangt außerdem, dass alle KI-Modelle den Grundsätzen der Aufsicht, der technischen Robustheit und Sicherheit, des Datenschutzes, der Datenverwaltung, der Transparenz, des sozialen und ökologischen Wohlergehens, der Vielfalt, der Nichtdiskriminierung und der Fairness entsprechen.

 

Und auch

URSSAF

Am Wochenende des 1. Mai Die Urssaf hat einen Computerfehler gemacht was zur Veröffentlichung von Daten von mehreren tausend Selbstständigen führte.

Einige Mitglieder behaupten, Dokumente erhalten zu haben, die die Zahlungspläne „von achtzehn anderen Personen“ enthielten, oder in den bedeutendsten Fällen sogar „301 Seiten Urssaf-Zahlungspläne, die mich nicht betreffen“.

Diese Dateien enthalten sensible persönliche Informationen wie Bankdaten, Einkommen, Adressen oder vollständige Identitäten. 

Die von diesen Sendefehlern betroffenen Personen, insgesamt 10.640 nach ersten Erkenntnissen der internen Untersuchung, sollten in Kürze eine entsprechende Mitteilung erhalten.

Die Urssaf meldete den Sicherheitsverstoß der CNIL.

DROHNE

Seit dem 19. April Polizeibeamte und Gendarmen sind befugt, Versammlungen aus der Luft zu filmen.

Dies war im Stade de France, in Mayotte, in Le Havre und während der Maifeierlichkeiten in Paris der Fall.

Ein Dekret der Polizeipräfektur vom 28. April erlaubt den Überflug von Demonstranten in der Hauptstadt mit Bordkameras, um „Angriffe auf die Sicherheit von Personen und Eigentum“ zu verhindern und „die öffentliche Ordnung aufrechtzuerhalten oder wiederherzustellen“.

Dies ist eine der ersten Genehmigungen, die im Rahmen eines kürzlich erlassenen Dekrets des Innenministeriums als Teil des neuen Gesetzes über strafrechtliche Verantwortlichkeit und innere Sicherheit erteilt wurden.

Die CNIL hat zwei Stellungnahmen (im Januar und Juli 2021) zu diesen neuen Rechtsvorschriften veröffentlicht und forderte bei dieser Gelegenheit eine strenge Regulierung des Drohneneinsatzes angesichts der Gefahr einer Verletzung der öffentlichen Freiheiten und der Privatsphäre von Einzelpersonen.

CYBERSICHERHEIT

Das Gesetz vom 3. März 2022, das am 1. Oktober 2023 in Kraft treten wird, führt Folgendes ein: Cybersicherheitszertifizierung für digitale Plattformen, die sich an die breite Öffentlichkeit richten.

Betreiber von Online-Plattformen und Anbieter von nicht-nummernbasierten zwischenmenschlichen Kommunikationsdiensten müssen ein Cybersicherheitsaudit durchführen, das die Sicherheit und den Speicherort der von ihnen gehosteten Daten sowie ihre eigene Sicherheit umfasst.

Gemäß dem Entwurf des Verordnungs zur Umsetzung des Cyberscores werden die Prüfverfahren die Verwendung des SecNumCloud-Referenzrahmens für die Datenexposition gegenüber extraterritorialer Gesetzgebung, den europäischen Standort der Hosting-Infrastrukturen und die Nationalität der Subunternehmer umfassen.

CNIL

Die CNIL veröffentlichte am 3. April eine neue Version des Leitfadens zur Sicherheit personenbezogener Daten.

Die neue Version berücksichtigt insbesondere die neuesten Empfehlungen der CNIL in Bezug auf Passwörter und Protokollierung.

 

Europäische Institutionen und Gremien

EUROPÄISCHES PARLAMENT

• Datentransfers zwischen der EU und den Vereinigten Staaten In der am 13. April von den Mitgliedern des Ausschusses für bürgerliche Freiheiten verabschiedeten Entschließung wird festgestellt, dass der von der EU und den Vereinigten Staaten vorgeschlagene Datenschutzrahmen zwar eine „Verbesserung“ darstellt, die erzielten Fortschritte jedoch nicht „ausreichend“ sind, um einen Angemessenheitsbeschluss über die Übermittlung personenbezogener Daten zu rechtfertigen.

Die Kommission stellt fest, dass der Rahmen in bestimmten Fällen immer noch die massenhafte Erfassung personenbezogener Daten zulässt und einen Beschwerdemechanismus vorsieht, der möglicherweise nicht unabhängig ist (Richter könnten vom US-Präsidenten abberufen werden, der seine Entscheidungen auch wieder aufheben könnte).

EU-Bürger könnten auch daran gehindert werden, ihre Rechte auf Auskunft und Berichtigung ihrer Daten auszuüben, da die Entscheidungen geheim gehalten würden.

Die Abgeordneten des Europäischen Parlaments fordern die Kommission auf, „sicherzustellen, dass der künftige Rahmen rechtlichen Anfechtungen standhält und Rechtssicherheit für EU-Bürger und -Unternehmen bietet“.

• Die Mitglieder des Europäischen Parlaments legten am 27. April ihre Differenzen bei und erzielten eine vorläufige politische Einigung über die KI-Regulierungen.

Der Text wird strengere Verpflichtungen in Bezug auf LLMs und biometrische Identifizierungssoftware enthalten: Zunächst ist diese Erkennungssoftware in Echtzeit verboten; sie darf nur nachträglich bei schweren Straftaten und mit vorheriger Genehmigung eingesetzt werden.

Der Text könnte vor einer wichtigen Abstimmung im Ausschuss am 11. Mai noch geringfügigen technischen Anpassungen unterliegen und wird voraussichtlich Mitte Juni in der Plenarsitzung zur Abstimmung kommen.

• Am 20. April billigten die Abgeordneten des Europäischen Parlaments den ersten EU-Gesetzestext für Krypto-Asset-Transfers nachverfolgen wie beispielsweise Bitcoins und elektronische Währungstoken.

Der Text – der im Juni 2022 von den Verhandlungsführern des Parlaments und des Rates vorläufig gebilligt wurde – zielt darauf ab, sicherzustellen, dass Kryptowährungstransfers, wie jede andere Finanztransaktion auch, jederzeit nachverfolgt und verdächtige Transaktionen blockiert werden können.

Das Europäische Parlament und die EU-Mitgliedstaaten verhandeln derzeit über Cyberresilienzgesetz (CRA), eine neue Verordnung zur Stärkung der digitalen Sicherheit vernetzter Geräte in der EU.

Der ARC schlägt Audit- und Zertifizierungsanforderungen für Software- und Hardwarehersteller von vernetzten Geräten vor und sieht einen Mindestzeitraum vor, in dem diese Software-Sicherheitspatches für ihre Produkte bereitstellen müssen.

 

EDSA

• Der Europäische Datenschutzausschuss (EDPB) veröffentlichte am 27. April eine Ein Leitfaden für KMU, der die Grundsätze für die Verarbeitung von Daten von Mitarbeitern, Kunden und Geschäftspartnern detailliert beschreibt.

Der Leitfaden erläutert außerdem die wichtigsten Sicherheitsregeln, die zu beachten sind, und wie man mit einer Datenschutzverletzung umgeht.

• Der Europäische Datenschutzausschuss veröffentlichte am 19. April einen Bericht über die Ergebnisse der Arbeit der Arbeitsgruppe betreffend die 101 Beschwerden, die die Nichtregierungsorganisation NOYB nach dem Schrems-II-Urteil des EuGH eingereicht hat.

Diese Beschwerden beziehen sich auf die Tools „Google Analytics“ und „Facebook Business Tools“ sowie auf die Übermittlung personenbezogener Daten in die Vereinigten Staaten.

Der Bericht legt die gemeinsamen Positionen der Arbeitsgruppe dar und enthält Informationen über die Ergebnisse der ersten betroffenen Fälle.

Mehrere Datenschutzbehörden haben Website-Betreiber angewiesen, die betreffenden Datentransfers einzustellen. 

• Am 4. April veröffentlichte der Europäische Datenschutzausschuss die endgültige Fassung seines Leitlinien 9/2022 zur Meldung von Datenschutzverletzungen.

 

CVRIA

• Der Gerichtshof der Europäischen Union entschied in einem Urteil vom 4. Mai, dass das Zugangsrecht der betroffenen Person das Recht einschließt, vollständige Dokumente oder Auszüge aus Dokumenten oder Auszüge aus Datenbanken zu erhalten, sofern dies für die wirksame Ausübung ihres Rechts durch die betroffene Person unerlässlich ist.

In diesem speziellen Fall hatte CRIF, ein auf Wirtschaftsinformationen spezialisiertes Unternehmen, dem Beschwerdeführer eine zusammengefasste Version seiner Daten zur Verfügung gestellt.

• Der EuGH hat außerdem erstmals über die Zuerkennung immaterieller Schäden nach der DSGVO entschieden.

Obwohl der Gerichtshof in seinem Urteil vom 4. Mai bestätigt, dass die DSGVO keine „Schwelle“ für die Geltendmachung von Schadensersatz vorsieht, weist er dennoch darauf hin, dass eine Rechtsverletzung, ein Schaden und ein ursächlicher Zusammenhang vorliegen müssen und dass es ohne tatsächlichen Schaden keinen Anspruch gibt.

Der Fall nahm seinen Anfang, als die österreichische Post Statistiken über die wahrscheinliche politische Orientierung von Millionen von Menschen erstellte.

Dem Beschwerdeführer war ein wahrscheinliches Interesse an einer rechtsextremen Partei zugeschrieben worden, es war jedoch nicht sicher, ob diese Information an Dritte weitergegeben worden war, da er auf einer Liste stand, die von der Postwerbung ausgeschlossen war.

• In einem ähnlichen Zusammenhang hat der Generalanwalt des EuGH am 27. April seine Schlussanträge zu folgender Frage gestellt: Kann die rechtswidrige Weitergabe personenbezogener Daten, die sich im Besitz der bulgarischen Nationalen Einnahmenagentur befinden, infolge eines Computerhacks einen Anspruch auf Schadensersatz wegen immateriellen Schadens zugunsten der betroffenen Person begründen, nur weil diese einen möglichen Missbrauch ihrer Daten befürchtet?

Nach Ansicht der Generalversammlung sollte der in Artikel 82 der DSGVO definierte immaterielle Schaden nicht mit bloßen Unannehmlichkeiten verwechselt werden.

Der Schaden muss objektiv bewiesen werden können und darf nicht ausschließlich auf der subjektiven Darstellung des Klägers beruhen.

 

Nationale Nachrichten

• ITALIEN: Am 2. März verhängte die italienische Datenschutzbehörde (APD) eine Geldstrafe von 5.000 Euro gegen einen Datenverantwortlichen, weil dieser unaufgefordert kommerzielle Mitteilungen an E-Mail-Adressen verschickt hatte, die durch eine Software mittels automatischer Kombination von im Internet gesammelten Daten erstellt worden waren.
• ÖSTERREICH: Nach einer Beschwerde von noyb erklärte die österreichische Datenschutzbehörde (APD) am 29. März, dass ein Cookie-Banner mit der Aufschrift „Akzeptieren oder zahlen“ auf der Website einer Zeitung aufgrund der Anforderungen an die Granularität der Einwilligung nicht mit der DSGVO vereinbar sei.
• DIE NIEDERLANDE: Am 4. April ordnete ein niederländisches Berufungsgericht Uber an, Fahrern Zugang zu ihren personenbezogenen Daten und Erläuterungen zu automatisierten Entscheidungen zu gewähren. Das Gericht verhängte zudem eine Geldstrafe von 4.000 Euro pro Tag gegen den Datenverantwortlichen.
• SPANIEN: Die katalanische Datenschutzbehörde hat den Einsatz von Gesichtserkennungssystemen zur Betrugsprävention bei Online-Universitätsprüfungen als unverhältnismäßig eingestuft. Sie hat den Verantwortlichen für die Datenverarbeitung wegen Verstoßes gegen Artikel 5 Absatz 1 Buchstabe a und Artikel 9 der DSGVO mit einer Geldbuße von 20.000 Euro belegt.
• VEREINIGTES KÖNIGREICH: Fast 50 britische Abgeordnete haben einen Brief an das Unternehmen geschrieben, dem die Kaufhäuser House of Fraser und Sports Direct gehören, um den Einsatz von Gesichtserkennungskameras in den Filialen des Konzerns zu verurteilen.

Die Parlamentarier bezeichneten die Technologie als „invasiv und diskriminierend“ und forderten die Gruppe auf, den Einsatz dieser Kameras landesweit zu beenden.

• Am 4. April leitete die britische Datenschutzbehörde (DPA) eine Untersuchung gegen TikTok ein und verhängte eine Geldstrafe von 12.700.000 Pfund wegen Missbrauchs von Kinderdaten.
• Der Präsident von Signal, der verschlüsselten Messaging-App, äußerte Bedenken hinsichtlich des Vorschlags der britischen Regierung zur Online-Sicherheit, der die Verschlüsselung schwächen und Unternehmen dazu zwingen könnte, verschlüsselte Nachrichten auf illegale Inhalte zu überprüfen.

Meredith Whittaker deutet an, dass Signal sich in diesem Fall aus Großbritannien zurückziehen könnte. Ähnliche Bedenken wurden auch von anderen Messengerdiensten wie WhatsApp und Element geäußert.

 

• VIETNAM: Am 17. April 2023 veröffentlichte die vietnamesische Regierung das Dekret Nr. 13/2023/ND über den Schutz personenbezogener Daten („PDPD“), das das erste umfassende Dokument zur Regelung des Schutzes personenbezogener Daten im Land darstellt.
• TANSANIA: Das neue Gesetz zum Schutz personenbezogener Daten trat am 1. Mai in Kraft.
• CBPR: Am 17. April beantragte das Vereinigte Königreich den Beitritt zur Gruppe der Länder, die den Cross-Border Security Rules (CBPR) beigetreten sind. Dieser Gruppe gehören derzeit Australien, Kanada, Japan, die Republik Korea, Mexiko, die Philippinen, Singapur, Taiwan und die Vereinigten Staaten an. Die vom US-Handelsministerium ins Leben gerufenen CBPR ermöglichen es jedem Land, den Status eines assoziierten Mitglieds zu beantragen und vom freien Datenaustausch mit den teilnehmenden Ländern zu profitieren, sofern es über Gesetze zum Schutz personenbezogener Daten verfügt und „mindestens eine öffentliche Stelle für die Durchsetzung dieser Gesetze und/oder Verordnungen“ benannt hat.
• IAPP:Eine Infografik der International Association of Privacy Professionals (IAPP) listet die Jurisdiktionen auf, die einer Datenschutzbehörde oder einer Regierungsbehörde die Befugnis geben, andere Jurisdiktionen als solche mit "angemessenen" Datenschutzstandards zu bezeichnen.

Ergänzt wird dies durch eine weitere Infografik, die die Mechanismen und Richtlinien für die Regelung von Überweisungen gemäß den jeweiligen Rechtsordnungen (Vertragsklauseln, Zustimmung usw.) detailliert darstellt.