Italien: Garante sanktioniert OpenAI
21.01.2025
Zusammenfassung
Die italienische Datenschutzbehörde hat OpenAI wegen Verstößen gegen die DSGVO mit einer Strafe von 15 Millionen Euro belegt. Gründe waren ein nicht gemeldeter Datenschutzvorfall, fehlende rechtliche Grundlagen für die Datenverarbeitung und mangelnde Transparenz gegenüber Nutzern. Außerdem fehlten Maßnahmen zum Schutz von Kindern unter 13 Jahren. OpenAI muss eine sechsmonatige Informationskampagne durchführen, und die Aufsicht wechselt künftig zur irischen Datenschutzbehörde. Der Fall unterstreicht, dass Transparenz und Datenschutz auch bei KI-Technologien zentral bleiben.
3 Minuten Lesezeit
Italien gegen ChatGPT geht in eine neue Runde: Die italienische Aufsichtsbehörde, Garante per la protezione dei dati personali, hat kurz vor Weihnachten gegenüber dem kalifornischen KI-Unternehmen OpenAI ein Bußgeld in Höhe von 15 Millionen Euro ausgesprochen. Die Ermittlungen begannen bereits im März 2023, nachdem ein Datenschutzvorfall bekannt wurde.
Je höher das Risiko, desto eher die Meldung!
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde […].“ (Art. 33 DSGVO)
Die italienische Aufsichtsbehörde wirft OpenAI vor, nicht über einen im März 2023 erfolgten Datenschutzvorfall informiert zu haben.
Je personenbezogene Datenverarbeitung, desto Rechtsgrundlage!
„Personenbezogene Daten müssen auf rechtmäßige Weise […] verarbeitet werden.“ (Art. 5 Abs. 1 lit. a DSGVO)
Außerdem erfolgte die Verarbeitung personenbezogener Daten zur Schulung von ChatGPT ohne eine angemessene rechtliche Grundlage.
Je personenbezogene Datenverarbeitung, desto transparente Erklärung!
„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ (Art. 12 Abs. 1 DSGVO)
OpenAI hat zudem seine Nutzer nicht ausreichend über die Datenverarbeitung und deren Zwecke informiert. Es bestand u.a. keine Möglichkeit für Nutzer, ihre Rechte wie Widerspruch, Berichtigung oder Löschung ihrer Daten wirksam auszuüben.
Je jünger der Nutzer, desto höher die Anforderungen!
„[…] dies gilt insbesondere für Informationen, die sich speziell an Kinder richten.“ (Art. 12 Abs. 1 DSGVO)
Darüber hinaus wurden keine Mechanismen eingeführt, um das Alter der Nutzer zu überprüfen, wodurch Kinder unter 13 Jahren möglicherweise ungeeigneten Inhalten ausgesetzt wurden.
Konsequenzen für OpenAI
Die italienische Aufsichtsbehörde hat sich – gestützt durch nationales Datenschutzrecht – zu verschiedenen Maßnahmen entschieden:
- Informationskampagne: OpenAI muss eine sechsmonatige Aufklärungskampagne über Radio, Fernsehen, Printmedien und das Internet durchführen. Ziel ist es, öffentliches Bewusstsein über die Datenverarbeitung durch ChatGPT und die Rechte der Nutzer zu schaffen.
- Geldstrafe: Eine Strafe in Höhe von 15 Millionen Euro wurde verhängt. Diese Summe berücksichtigt sowohl die Schwere der Verstöße als auch die kooperative Haltung von OpenAI.
- Weitergabe an Irland: Da OpenAI seinen europäischen Hauptsitz während der Ermittlungen nach Irland verlegt hat, wird die irische Datenschutzbehörde (DPC) zukünftig federführend für die Aufsicht über das Unternehmen sein.
Fazit: Immer wieder grundlegende Fragen
Die Sanktionen gegen OpenAI zeigen, dass es den Behörden – auch bei der Entwicklung moderner Technologien wie Künstlicher Intelligenz – immer wieder um grundlegende Fragen geht: Datenschutzrechtliche Prinzipien – wie insbesondere Transparenz – sollten von Beginn an von Unternehmen mitbedacht werden.
[Fragen zu datenschutzrechtlichen Besonderheiten beim Einsatz von KI hat zuletzt der EDSA in einem Orientierungspapier beantwortet. Eine Zusammenfassung findet sich hier.]
