Mit den technologischen Entwicklungen der letzten Jahre sind Chatbots mit künstlicher Intelligenz wie viele neue Werkzeuge in unser Leben getreten und haben sich so entwickelt, dass sie auf alle unsere Bedürfnisse reagieren und zu einem festen Bestandteil unseres Lebens geworden sind. Eine natürliche Folge davon ist, dass diese auf künstlicher Intelligenz basierenden Systeme, die kontinuierlich Daten von ihren Nutzern sammeln, verschiedene Bedenken aufgeworfen haben und sowohl von Datenschutzbehörden als auch von Fachleuten, die sich mit Fragen der Datensicherheit und des Schutzes der Privatsphäre befassen, häufig diskutiert werden.
Während die Frage, wie Chatbots mit künstlicher Intelligenz die von den Nutzern erhobenen Daten nutzen und speichern, durch veröffentlichte Entscheidungen, Publikationen und Pressemitteilungen weiter auf der Tagesordnung bleibt, hat die Datenschutzbehörde am 08.11.2024 einen Informationsvermerk mit dem Titel “Information Note on Chat Robots (ChatGPT Example)” veröffentlicht, der sich mit den intensiven Aktivitäten dieser Chatbots, die eine Interaktion zwischen Mensch und Technik ermöglichen, zur Erhebung und Verarbeitung personenbezogener Daten befasst. Das Memorandum, das verschiedene Erläuterungen zu den von künstlicher Intelligenz unterstützten Chatbots enthält, beleuchtet auch, was für Praktiker und Entwickler im Rahmen des Datenschutzrechts zu tun ist.
Chatbots können als Anwendungen künstlicher Intelligenz definiert werden, die in der Lage sind, mit Nutzern zu interagieren, um Fragen zu beantworten und Informationen bereitzustellen. Die Agentur definiert dies als “eine Software, die ein menschliches Gespräch mit dem Endnutzer simuliert und versucht, die Aufgaben/Anweisungen zu erfüllen, die ihr der Nutzer über eine Schnittstelle erteilt”.
Es ist bekannt, dass alle Arten von Daten unverzichtbare Ressourcen für Systeme der künstlichen Intelligenz sind. Der Hauptgrund dafür ist, dass Systeme, die durch künstliche Intelligenz unterstützt werden, von Natur aus verschiedene und große Datenmengen benötigen, um mit der besten Leistung arbeiten zu können. In diesem Zusammenhang können Daten zu vielen Zwecken verarbeitet werden, z. B. zur Verbesserung der Benutzererfahrung, zur Analyse, zur Verbesserung von Diensten und zur Entwicklung neuer Programme, wobei die Art der Daten unterschiedlich sein kann. Zu den verarbeiteten Daten gehören unter anderem Name, Kontaktinformationen, Zahlungskarteninformationen, die automatisch vom Browser oder Gerät gesendete Internetprotokolladresse (IP-Adresse), Browsertyp und -einstellungen, Standortinformationen, Zugriffszeiten, Art des Computers oder Mobilgeräts, Suchverlauf, Cookie-Informationen sowie von Einzelpersonen übermittelte Text-, Sprach- und ähnliche Daten.
In Bezug auf Chatbot-Anwendungen mit künstlicher Intelligenz wie ChatGPT gibt es in den verschiedenen Ländern unterschiedliche Ansätze für den Schutz personenbezogener Daten. In unserem Land ist es nicht möglich, Chatbots mit künstlicher Intelligenz unabhängig von den Grundsätzen und Vorschriften des Gesetzes über den Schutz personenbezogener Daten zu halten, und die Praktiken sollten im Rahmen des Gesetzes sorgfältig geprüft und bewertet werden. Während diese Vorschriften darauf abzielen, die Rechte des Einzelnen in Bezug auf Datenschutz und Sicherheit zu schützen, erlegen sie den Anbietern von Chatbots in diesem Rahmen auch verschiedene Verpflichtungen auf. Solche auf künstlicher Intelligenz basierenden Anwendungen sollten insbesondere im Hinblick auf die grundlegenden Prinzipien bezüglich der Verfahren und Grundsätze bei der Verarbeitung von Daten bewertet werden, die in Artikel 4 des Gesetzes mit dem Titel “Allgemeine Grundsätze” geregelt sind.
Im Rahmen des Gesetzes zum Schutz personenbezogener Daten ist es von großer Bedeutung, die ausdrückliche Zustimmung zur Erhebung und Verarbeitung von Nutzerdaten einzuholen. Die Einholung der ausdrücklichen Zustimmung von Nutzern, die mit Chatbots interagieren, und die transparente Erläuterung von Datenverarbeitungsprozessen gehören zu den Grundprinzipien, die im Hinblick auf die Einhaltung der KVKK wichtig sind. Die Transparenz der Datenverarbeitungsprozesse kann dadurch gewährleistet werden, dass der Nutzer ausreichend darüber informiert wird, wie und zu welchen Zwecken die verarbeiteten Daten verwendet werden, an wen sie weitergegeben werden, welche Daten wie lange gespeichert werden und welche Rechte der Einzelne hat. Diese Informationstexte, die sorgfältig erstellt werden müssen, um sicherzustellen, dass der Einzelne nicht die Kontrolle über seine Daten verliert, müssen in einer klaren und einfachen Sprache verfasst sein und den Leitlinien und Rechtsvorschriften über die Erfüllung der Offenlegungspflicht entsprechen.
Neben der transparenten Offenlegung gegenüber dem Einzelnen besteht eine weitere Dimension der Anforderungen an die Datenverarbeitungsprozesse darin, dass die verarbeiteten Daten den allgemeinen Grundsätzen des Gesetzes entsprechen müssen. In diesem Zusammenhang müssen die verarbeiteten personenbezogenen Daten für spezifische, ausdrückliche und rechtmäßige Zwecke verarbeitet werden und für den Zweck, für den sie verarbeitet werden, relevant, begrenzt und angemessen sein.
Im Falle von ChatGPT besagt die Datenschutzerklärung, dass die von den Nutzern erhobenen personenbezogenen Daten zu Zwecken wie der Bereitstellung von Diensten, der Analyse, der Entwicklung neuer Produktfunktionen, der Kommunikation mit den Nutzern, der Verhinderung des Missbrauchs von Diensten, der Erfüllung rechtlicher Verpflichtungen und der Wahrung der berechtigten Interessen des Unternehmens verarbeitet werden. Es wird den Nutzern auch ermöglicht, die entsprechenden Einstellungen zu ändern, falls sie nicht möchten, dass diese Daten zum Trainieren von Modellen im Rahmen der Verbesserung der Dienste verwendet werden. An dieser Stelle kann man sagen, dass man sich bei der Datenverarbeitung auf Rechtsgrundlagen stützt und den Nutzern die Kontrolle über ihre Daten in Bezug darauf gibt, ob sie die Verwendung von Chatverlaufsdaten für die Entwicklung der Anwendung erlauben. Es ist ein positiver Schritt im Hinblick auf den Schutz personenbezogener Daten, wenn den Nutzern das Recht eingeräumt wird, selbst zu entscheiden, ob ihre Chatverläufe für die Entwicklung der Anwendung verwendet werden sollen oder nicht. In Bezug auf die Datenvernichtung heißt es, dass die Daten aus Sicherheitsgründen maximal 30 Tage aufbewahrt werden, wenn der zeitlich begrenzte Chat-Modus gewählt wird, was die Frage aufwirft, ob diese Verpflichtung den Nutzern in der Türkei ausreichenden Schutz bietet. Diese Frage muss möglicherweise auch im Hinblick auf den Grundsatz der „Aufbewahrung für den Zeitraum, der für den Zweck erforderlich ist“ des Gesetzes geprüft werden.
Daher ist es eine Tatsache, dass auf künstlicher Intelligenz basierende Chatbot-Anwendungen einige Unsicherheiten in Bezug auf den Schutz personenbezogener Daten beinhalten und dass bei der Entwicklung und Nutzung solcher Anwendungen mehr Sensibilität in Bezug auf den Schutz personenbezogener Daten gezeigt werden sollte. Die von der Behörde in Form eines Informationsvermerks veröffentlichte Studie war ein wichtiger Ausgangspunkt in dieser Hinsicht. In der Tat warnte die Behörde in dem entsprechenden Vermerk die Nutzer davor, ihre personenbezogenen Daten zu sehr preiszugeben, und nannte wichtige Grundsätze, die bei der Entwicklung eines Chatbots zu beachten sind, wie etwa “eine Risikobewertung vorzunehmen, bevor personenbezogene Daten berührt werden”, “im Einklang mit dem Grundsatz der Verantwortlichkeit und den im Gesetz festgelegten Grundsätzen zu handeln“ und „die Informationspflicht zu erfüllen”.
Es ist von großer Bedeutung, dass Anwendungen wie Chatbots im Einklang mit den oben genannten Grundsätzen entwickelt werden und dass die notwendigen Schritte zum Schutz der Daten der Nutzer unternommen werden, und die Datenschutzbehörden sollten regelmäßig Audits und Studien in diesem Bereich durchführen, um sicherzustellen, dass dieses System im Einklang mit den Rechtsvorschriften durchgeführt werden kann. Angesichts der ständig zunehmenden Komplexität der Technologien der künstlichen Intelligenz wird davon ausgegangen, dass die Ausarbeitung detaillierterer und umfassenderer Informationsvermerke zum Schutz der personenbezogenen Daten und der Privatsphäre des Einzelnen beitragen und für die Entwicklung von Anwendungen in diesem Bereich und insbesondere für die Einhaltung der Grundsätze des Schutzes personenbezogener Daten aufschlussreich sein wird.
Rechtsanwältin Selin Ünverdi
