In einem Fall, der ernste Fragen über die Verantwortlichkeiten von KI-Unternehmen nach europäischem Recht aufwirft, hat ein norwegischer Mann eine formelle Datenschutzbeschwerde eingereicht, nachdem ChatGPT ihn fälschlicherweise als verurteilten Mörder dargestellt hatte. Der Vorfall ist nicht nur wegen seines Inhalts beunruhigend - er vermischt fiktive kriminelle Anschuldigungen mit realen persönlichen Details - sondern auch wegen seiner rechtlichen Auswirkungen im Rahmen der Allgemeinen Datenschutzverordnung (GDPR).
Was ist passiert?
Arve Hjalmar Holmen, eine Privatperson aus Norwegen, fragte Berichten zufolge ChatGPT, was die KI über ihn sagen würde. Die Antwort, die er erhielt, war schockierend: Der Chatbot behauptete, Holmen habe zwei seiner Kinder ermordet und versucht, ein drittes zu töten, und verbüße derzeit eine 21-jährige Haftstrafe in einem norwegischen Gefängnis.
Was die Fälschung noch beunruhigender macht, ist die Tatsache, dass die Antwort auch Folgendes enthielt genaue persönliche Angabenwie Holmens Heimatstadt und die Anzahl und das Geschlecht seiner Kinder - Fakten und Fiktion auf eine Weise vermischt, die dem Durchschnittsnutzer glaubwürdig erscheinen könnte.
GDPR: Das rechtliche Fundament der Beschwerde
Im Namen von Holmen hat die österreichische Interessenvertretung für den Datenschutz NOYB (None of Your Business) eine formelle Beschwerde bei der norwegischen Regierung eingereicht Datasilsynet (Datenschutzbehörde). Der Kern der Beschwerde beruht auf folgenden Punkten Artikel 5 Absatz 1 Buchstabe d der Datenschutz-Grundverordnungdie besagt, dass personenbezogene Daten sein müssen:
"Richtig und, soweit erforderlich, auf dem neuesten Stand sein. Es müssen alle angemessenen Schritte unternommen werden, um sicherzustellen, dass personenbezogene Daten, die unrichtig sind, unverzüglich gelöscht oder berichtigt werden."
Dieser Grundsatz ist nicht optional. Die DSGVO verlangt, dass die für die Datenverarbeitung Verantwortlichen (in diesem Fall OpenAI) die Richtigkeit der personenbezogenen Daten sicherstellen und dem Einzelnen die Möglichkeit geben, falsche oder irreführende Informationen zu korrigieren oder zu löschen.
KI-Modelle und die "Black Box"-Herausforderung
Die Beschwerde von NOYB unterstreicht auch eine kritische Herausforderung im Zeitalter der KI: KI-Modelle wie ChatGPT können zwar scheinbar intelligente und sachkundige Antworten generieren, aber sie sind keine Datenbanken mit verifizierten Fakten. Stattdessen sagen sie Text auf der Grundlage von Mustern in Trainingsdaten voraus - was zu plausibel klingenden, aber völlig falschen Aussagen führen kann, insbesondere über Menschen.
Zu OpenAIs Verteidigung gehörte oft ein allgemeiner Haftungsausschluss, dass "ChatGPT falsche oder irreführende Informationen liefern kann" - aber laut NOYBs Rechtsexperten entbindet ein Haftungsausschluss ein Unternehmen nicht von der GDPR-Verantwortung.
"Man kann nicht einfach falsche Informationen verbreiten und am Ende einen kleinen Disclaimer hinzufügen, der besagt, dass alles, was man gesagt hat, vielleicht nicht wahr ist. sagte Joakim Söderberg, Datenschutzanwalt bei NOYB.
Berichtigung vs. Sperrung: Eine rechtliche Unterscheidung
Diese Beschwerde ist der zweite formelle GDPR-Fall von NOYB gegen OpenAI. Im ersten Fall, im April 2024, ging es um eine Person des öffentlichen Lebens, deren Geburtsdatum von ChatGPT falsch angegeben wurde. Damals behauptete OpenAI, es könne den Fehler nicht "korrigieren", sondern nur Antworten auf bestimmte Anfragen blockieren.
Nach der Datenschutz-Grundverordnung haben die Nutzer jedoch ein Recht auf Berichtigung, nicht nur auf Löschung oder Unterdrückung. Wenn Daten falsch sind, müssen sie korrigiert werden - und nicht nur versteckt.
Warum das wichtig ist
Dieser Fall erinnert eindringlich daran, warum es die Datenschutzgrundverordnung gibt - und wie wichtig sie im Zeitalter der KI ist. Wenn KI-Tools Inhalte über Personen generieren, insbesondere solche, die verleumderische oder schädigende Behauptungen enthalten, wird die Grenze zwischen Fiktion und Rechtsverletzung gefährlich dünn.
Die Folgen sind klar:
- Falsche personenbezogene Daten sind ein Datenschutzproblem
- KI-generierte Fehler können reale Folgen haben
- Compliance-Rahmenwerke wie GDPR sind für in Europa tätige KI-Entwickler nicht optional
Was kommt als Nächstes?
Bis jetzt ist die Zeitlinie von Holmens ursprünglicher ChatGPT-Abfrage in der öffentlichen Version der Beschwerde geschwärzt, aber NOYB hat bestätigt, dass sie stattfand, bevor das KI-Tool Live-Web-Browsing-Funktionen enthielt. Wenn dieselbe Abfrage heute eingegeben wird, verweisen die Ergebnisse nur noch auf die Klage selbst - ein deutliches Beispiel dafür, dass digitale Fußabdrücke nicht so leicht zu löschen sind.
Der Fall wird wahrscheinlich den Druck auf Regulierungsbehörden und Entwickler gleichermaßen erhöhen, die KI-Governance ernst zu nehmen und sicherzustellen, dass Schutzmaßnahmen wie die in der Datenschutz-Grundverordnung (DSGVO) mit derselben Geschwindigkeit und in demselben Umfang durchgesetzt werden wie die Technologie selbst.
- Wir können Ihnen helfen, FADP-konform zu werden!
Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften
