[IITR – 18.04.23] Bei der diesjährigen Global Privacy Summit der IAPP in Washington D.C. gab es ein zentrales Thema: „Künstliche Intelligenz und wie damit (datenschutzrechtlich) umgehen“. – Kaum ein Vortrag kam umhin, das Thema zumindest zu streifen.
„Il Garante blocca ChatGPT“
Wie die italienische Datenschutz-Aufsichtsbehörde („Garante per la protezione dei dati personali“) am 31. März 2023 – also wenige Tage vor Beginn der Datenschutz-Konferenz der iapp – via Pressemitteilung mitteilte, sei ein Einsatz von ChatGPT datenschutzkonform nicht umsetzbar.
Die Verarbeitung sei intransparent und eine Rechtsgrundlage nicht ersichtlich, so die Einschätzung aus Rom. Man müsse also unbedingt nachbessern, um Datenschutzkonformität zu erreichen. Dazu sei man aber bereits mit OpenAI im Austausch.
Mit dem eigenen Wachstum mithalten
Im Verlaufe der Veranstaltung kam auch ein Vertreter von OpenAI zu Wort, der selbstverständlich ein paar Sätze zu der gegenwärtigen Situation verlor. So sei das zwischenzeitliche Online-Meeting mit der italienischen Aufsicht sehr gewinnbringend verlaufen, man hätte gewisse Rahmenbedingungen festlegen können, die es nun zu erfüllen gelte.
Aus Sicht von OpenAI sei der rasante Erfolg nicht ansatzweise erwartet worden, so dass gewisse Detailfragen – wie datenschutzrechtliche – etwas zu kurz kamen. Man sei sich aber durchaus bewusst, dass zeitnah nachzubessern ist.
Die italienische Aufsicht hat darüberhinaus bereits verkündet, dass Beschränkungen von ChatGPT in Italien unmittelbar wieder aufgehoben würden, sollte OpenAI bis 30. April gewisse Vorkehrungen getroffen haben.
„A European Strategy for Data“
Natürlich hat auch die Europäische Union einen Ansatz, um den Anforderungen der heutigen Zeit gerecht werden zu können. Teil ihrer „Datenstrategie“ ist eine Verordnung zur Künstlichen Intelligenz (Artificial Intelligence Act).
Vorgestellt als „Star“ unter den neuen Verordnungen, sei es deren primäres Ziel, für mehr Transparenz und Vertrauen von und in Künstliche Intelligenz zu sorgen. Dies solle gelingen, indem die verschiedenen Arten von Tools und Anwendungen risikobasiert eingeordnet würden und darauf aufbauend entsprechende Rahmenbedingungen vorgegeben würden.
Durch diese Verordnung solle eine europaweite Harmonisierung und Rechtssicherheit sichergestellt werden. Wie schon mit der EU-Datenschutzgrundverordnung setze man gewisse Standards, die außerdem Vorreiter und Beispiel weltweit sein könnten.
Die fünfjährige Erfolgsgeschichte des EDPB
Ebenfalls im Fokus stand einer der Garanten für die länderübergreifende Harmonisierung, das „European Data Protection Board“ (EDPB), das in den vergangenen fünf Jahren circa 40 Guidelines und rund 700 grenzüberschreitende Fälle bearbeitet hätte. Ein Schlüsselelement sei die Zusammenarbeit untereinander, die zu einer erfolgreichen und gewinnbringenden Bearbeitung und Durchsetzung datenschutzrechtlicher Themen geführt hätte.
Dass dabei durchaus Verbesserungsbedarf besteht, stehe außer Frage und sei in der „Vienna wishlist“ festgehalten worden. Zwar stehe eine Anpassung oder Änderung der Datenschutzgrundverordnung nicht zur Debatte, jedoch müssten insbesondere hinsichtlich der Durchsetzung dieser Vorkehrungen getroffen werden. Ein entsprechender Entwurf in Form einer ergänzenden Verordnung liegt bekannterweise bereits vor. Außerdem stehe die Arbeit einer neuen Taskforce zu der Stellung der Datenschutzbeauftragten in den Startlöchern.
Inwieweit die kommenden Gesetzesvorhaben Einfluss auf die Datenschutzgrundverordnung hätten, bleibt jedoch weiterhin abzuwarten. Im Anwendungsbereich dieser bliebe – so ist es auch den Verordnungsentwürfen zu entnehmen – die DSGVO zwar unberührt, das genaue Zusammenspiel dürfte sich aber erst in den kommenden Jahren zeigen. Nach Einschätzung des European Data Protection Supervisor Wojciech Wiewiorowski fänden die neuen Verordnungen nur dort Geltung, wo der Anwendungsbereich der Datenschutzgrundverordnung verlassen wäre.
Angesprochen auf die neuesten Entwicklungen aus Italien wich der oberste Datenschützer Europas etwas aus, indem er sagte, er selbst hätte die Entscheidung mangels Italienischkenntnissen bislang nicht gelesen und somit nur oberflächlich verfolgt. – In der vergangenen Woche wurde allerdings bekannt, dass man diese Thematik, auch auf Bitten verschiedener nationaler Aufsichtsbehörden, nun auch auf europäischer Ebene in Form einer Taskforce anginge.
Fazit: „Trust is key“
Wie schnell und dynamisch die Entwicklung generativer KI gehe, ist unbestritten, ChatGPT ist lediglich ein Beispiel von vielen. Dieser gilt es nun gerecht zu werden, was nur gelänge – da sind sich die Experten einig – wenn man Rahmenbedingungen schaffe, die dafür Sorge tragen, dass die Nutzer und die Gesellschaft im Allgemeinen Vertrauen in derartige Technologien haben können und dürfen. Das könne jedoch nur durch weitaus mehr Transparenz und ein besseres Verständnis erreicht werden.
Wenn Experten wie Nina Schick, die sich auf Generative KI spezialisiert hat und zu diesem Thema verschiedene Seiten aus Politik und Wirtschaft berät, prognostizieren, dass im Jahr 2025 bis zu 90 Prozent aller im Internet auffindbaren Inhalte durch künstliche Intelligenz geschaffen wären, zeigt es sich einmal mehr, wie unabdinglich es ist, mit dieser Entwicklung irgendwie Schritt zu halten.
Der Beitrag IAPP Global Privacy Summit 2023 erschien zuerst auf Das Datenschutz-Blog.