Die italienische Aufsichtsbehörde für den Datenschutz (Garante per la protezione dei dati personali) hat OpenAI mit einer Geldbuße von 15 Millionen Euro belegt.

Was war passiert?

Die Geldbuße ist das Ergebnis einer eingeleiteten Untersuchung, nachdem OpenAI ein im März 2024 bekannt gewordenen Data Breach nicht der Behörde gemeldet hatte. Zudem kamen Bedenken hinsichtlich einer rechtskonformen Verarbeitung von personenbezogenen Daten durch OpenAI auf. Die Behörde hatte seinerzeit den Betrieb von ChatGPT in Italien kurzzeitig untersagt und stellte nun fest, dass OpenAI Daten von Nutzern ohne angemessene rechtliche Grundlage für das Training von ChatGPT verwendet und dabei Transparenzpflichten verletzt habe. Zudem habe OpenAI keine angemessenen Altersverifikationmechanismen eingesetzt, wodurch Kinder unter 13 Jahren potenziell unangemessenen Inhalten ausgesetzt sein sollen.

Was muss OpenAI jetzt tun?

OpenAI ist neben der Zahlung des Bußgelds nun verpflichtet, eine sechsmonatige Informationskampagne über Radio, Fernsehen, Zeitungen und das Internet durchzuführen. Die Kampagne soll die Öffentlichkeit über die Funktionsweise von ChatGPT, insbesondere über die Datenerhebung und die Rechte der Betroffenen, aufklären. Diese Entscheidung basiert auf Art. 166 Nr. 7 des Privacy Code in Italien, wonach neben einem Bußgeld die Veröffentlichung der behördlichen Entscheidung, ganz oder auszugsweise, auf der Website der Garante oder die Anordnung zur Durchführung institutioneller Kommunikationskampagnen zur Förderung des Bewusstseins für das Recht auf Schutz personenbezogener Daten ergehen kann. 

Da OpenAI während der Untersuchung seinen europäischen Hauptsitz in Irland eingerichtet hat, wurde der Fall an die irische Datenschutzbehörde weitergeleitet, die nun für weitere Untersuchungen zuständig ist.

Medienberichten zufolge bezeichnet OpenAI die Entscheidung der Garante als unverhältnismäßig und kündigte an, gegen die Entscheidung vorgehen zu wollen.

Empfehlungen für die Praxis

Unternehmen, die KI-basierte Dienste anbieten, sollten eine klare rechtliche Grundlage für die Verarbeitung personenbezogener Daten sicherstellen, ihre Nutzer transparent über die Verarbeitung der Daten informieren und effektive Altersverifikationen implementieren.