Dies hätte kein deutscher Datenschützer gewagt: Die italienische Datenschutzbehörde (die „Garante“) hat am vergangenen Donnerstag ein ChatGPT-Verbot verfügt. Dies als Eilmaßnahme mit sofortiger Wirkung.

Der Verbotsbescheid lässt sich online nachlesen (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870832); die zugehörige Pressemitteilung gibt es sogar in englischer Sprache (https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870847#english).

Soweit ersichtlich, stützt sich das Verbot auf vier höchst unterschiedliche Gründe. Ein „Tutti Frutti“ nach italienischer Art:

1. Keine Rechtsgrundlage (Art. 6 DSGVO)

Die italienischen Datenschützer vermissen eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch OpenAI. Ein Thema, das man auch von anderen KI-Anwendungen kennt. Künstliche Intelligenz entsteht durch Trainingsdaten. Und Trainingsdaten haben fast immer auch – jedenfalls teilweise – Personenbezug. So kommt beispielsweise keine Übersetzungssoftware ohne Personendaten aus.

Es wäre naiv oder töricht, die Nutzung von Personendaten zum Machine Learning stets von der Einwilligung aller betroffenen Personen abhängig zu machen (Art. 6 Abs. 1 Satz 1 lit. a DSGVO). Denn dies würde das Ende aller KI-Anwendungen in Europa bedeuten. Somit bleibt die Interessenabwägung nach Art. 6 Abs. Satz 1 lit. f DSGVO). Weshalb man bei der „Garante“ meint, dass sich ChatGPT nicht auf „berechtigte Interessen“ stützen kann, ist dem Verbotsbescheid nicht zu entnehmen.

2. Keine ausreichenden Datenschutzinformationen (Art. 13 DSGVO)

Bemängelt werden weiterhin unzureichende Datenschutzinformationen (Art. 13 DSGVO). Offenkundig hält die italienische Behörde die Privacy Policy von OpenAI (https://openai.com/policies/privacy-policy) für unzureichend und meint womöglich, OpenAI müsse bei jeder Verwendung von Personendaten als Trainingsdaten die jeweilige Person gesondert informieren. Wie dies möglich sein soll, verraten die italienischen Datenschützer nicht. Auch dies eine Herausforderung für nahezu jede andere KI-Anwendung, da man in Rom Unmögliches von KI-Entwicklern verlangt.

3. Verstoß gegen das Prinzip der Datenrichtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

Man hat ChatGPT in Rom Fragen gestellt, die nicht immer richtig beantwortet wurden. Da es sich hierbei um Fragen zu einzelnen Personen handelte, meint man bei der „Garante“, das Prinzip der Datenrichtigkeit (Art. 5 Abs. 1 lit. d DSGVO) sei verletzt.

Unrichtige Ergebnisse einer KI-Anwendung sind natürlich keine Besonderheit von ChatGPT. Erneut wird Unmögliches verlangt. Dass jede Unrichtigkeit von (Trainings-)Daten einen Datenschutzverstoß darstellt, der mit einem Sofortverbot zu sanktionieren ist, hat bislang noch niemand vertreten (vgl. nur Schantz in Wolff/Brink, Beck OK, Stand 1.11.2021, Art. 5 DSGVO Rz. 21 ff.).

4. Keine Alterskontrolle (Art. 8 DSGVO)

Zu guter Letzt bemängelt die italienische Behörde das Fehlen jeder Alterskontrolle bei den Nutzerinnen und Nutzern.

Man reibt sich gleich zweimal die Augen. Zum einen, weil ChatGPT weit weniger für pornografische Inhalte bekannt ist als zahlreiche andere Seiten im Netz. Zum anderen, weil Art. 8 DSGVO zwar strenge Anforderungen an die Einwilligung stellt, wenn sie von Minderjährigen erklärt wird. Eine Pflicht zur Altersverifikation der Nutzer eines Online-Dienstes ist Art. 8 DSGVO jedoch beim besten Willen nicht zu entnehmen.

Und die Moral?

Viel Lärm um Nichts? Oder ein mutiger Schritt in eine völlig diffuse Richtung? Man darf gespannt sein, wie sich diese italienische Geschichte weiterentwickelt – zumal man in Rom früher oder später die Kolleginnen und Kollegen Datenschützer aus den anderen EU-Staaten ins Boot holen muss und dabei gewiss nicht nur „Tutti Frutti“, sondern Ãœberzeugungsarbeit gefragt ist.