Rechtliche Fragestellungen rund um ChatGPT
Der Chatbot ChatGPT des amerikanischen Technologieunternehmens OpenAI hat bei seiner Veröffentlichung große Aufmerksamkeit erregt. Im Februar hatte der Chatbot 100 Millionen aktive Nutzerinnen und Nutzer und ist damit die am schnellsten wachsende Internetanwendung aller Zeiten. In einer Vielzahl von Branchen wird geprüft, wie durch ChatGPT Arbeitsabläufe optimiert werden können.
Die neuartige Natur von ChatGPT stellt aber Anwenderinnen und Anwender und Dritte vor diverse rechtliche Herausforderungen, die wir nachfolgend in einem Überblick darstellen möchten.
Urheberrecht
Die Fähigkeit von ChatGPT, Texte von hoher Qualität zu verfassen, wirft verschiedene urheberrechtliche Fragestellungen auf. Dazu gehört insbesondere die Frage, wer an den Erzeugnissen des Chatbots urheberrechtliche Ansprüche geltend machen kann und wie ChatGPT die Quellen für die Ergebnisse heranziehen kann.
Urheberrechte an den Beiträgen von ChatGPT
Ein Werk ist nur urheberrechtlich geschützt, wenn es die sog. Schöpfungshöhe (§ 2 Abs. 2 UrhG) erreicht. Dies ist nur durch ein menschliches Werk möglich. Folglich scheidet ein urheberrechtlicher Schutz der Leistungen von ChatGPT aus. Das Gleiche gilt auch im amerikanischen Recht (siehe z. B. hier). Bei der Antwort von ChatGPT kann es sich aber um ein urheberrechtlich geschütztes Werk handeln, wenn der Beitrag des menschlichen Nutzers oder der menschlichen Nutzerin eine individuelle geistige Leistung darstellt. Werden die Antworten von ChatGPT in einer Art und Weise zusammengestellt werden, die wesentliche Investitionen erfordert, entsteht ein Leistungsschutzrecht nach den §§ 87a – 87e UrhG.
Ansprüche des Urhebers der Ursprungsquelle
Entgegen der Bezeichnung als „künstliche Intelligenz“ (KI) verfügt ChatGPT über kein eigenes Wissen, sondern erstellt aus vorhandenen Texten seine Antworten. Diese Texte können nach § 2 UrhG urheberrechtlich geschützt sein. Für den Nutzer oder die Nutzerin ist es problematisch, dass der Chatbot nicht angeben kann, aus welchen Quellen die Informationen stammen. Es ist also nahezu unmöglich abzuschätzen, inwieweit sich ChatGPT sich an einem einzelnen Text orientiert hat. Daher droht im Falle der Veröffentlichung eines von ChatGPT verfassten Textes die Gefahr, dass der Urheber des Ursprungstextes Urheber- oder Leistungsschutzrechte geltend macht.
Haftungsfragen
Wenn aufgrund einer Antwort von ChatGPT Schäden auftreten, stellt sich die Frage, ob OpenAI dafür haftbar gemacht werden kann.
Geltendes Recht
Die sachgerechte Lösung von Haftungsfällen bei autonomen Fehlentscheidungen von ChatGPT gestaltet sich mit den geltenden gesetzlichen Regelungen schwierig. Anknüpfungspunkt für die Haftung im deutschen Zivilrecht ist im Regelfall menschliches Handeln. Daran fehlt es bei einer Antwort von ChatGPT. Nach dem Produkthaftungsgesetz haftet der Produzent eines Produkts für Schäden an Personen und Sachen zum privaten Gebrauch, ohne dass ihm ein Verschulden nachgewiesen werden muss. Das Produkthaftungsgesetz findet aber nur auf körperliche Sachen Anwendung. In Betracht kommt zudem eine Produzentenhaftung nach § 823 Abs. 1 BGB, die sich auch auf nichtkörperliche Produkte erstreckt. Der Grund für die Rechtsgutsverletzung muss die Verletzung einer Verkehrssicherungspflicht sein (z. B. bei fehlerhafter Konstruktion oder Produktbeobachtung). Besteht eine solche Pflichtverletzung, wird das Verschulden des Produzenten vermutet. Jedoch: Da hochentwickelte künstliche Intelligenzen kaum mehr von Menschen durchschaubar sind, lässt sich aber schwer beweisen, dass der Schaden aufgrund der Verletzung einer Verkehrssicherheitspflicht aufgetreten ist.
KI-Haftungs-RL
Die EU-Kommission plant noch eine weitere gesetzliche Regelung zur KI: die europäischen KI-Haftungs-Richtlinie. Damit soll die außervertragliche Haftung bei autonomen Fehlern von künstlichen Intelligenzen modernisiert werden. Schwerpunkt der Richtlinie ist Art. 3 KI-Haftungs-RL-E, nach dem ein Betreiber einer Hochrisiko-KI nach dem AI Act, wenn der Verdacht besteht, dass diese KI einer anderen Person einen Schaden zugefügt hat, zur Offenlegung der vorliegenden Beweismittel verpflichtet sein. Da der Entscheidungsprozess von hochentwickelter KI wie ChatGPT oft kaum noch nachvollziehbar ist, soll nach Art. 4 KI-Haftungs-RL-E das Verschulden des Betreibers in bestimmten Fällen (z. B. bei Verstoß des Betreibers gegen eine gesetzliche Sorgfaltspflicht) vermutet werden. Eine allgemeine verschuldensunabhängige Haftung für Schäden durch autonome Entscheidungen eines KI-Systems sieht die KI-Haftungs-Richtlinie aber nicht vor. Jedenfalls würden, wenn die KI-Haftungs-RL umgesetzt wird, die zuvor beschriebenen Beweisprobleme verringert werden und ein Vorgehen gegen KI-Betreiber aussichtsreicher.
ChatGPT und Datenschutz
ChatGPT bietet in vielerlei Hinsicht Potentiale für die Nutzung durch Unternehmen. So plant z. B. das soziale Netzwerk Snapchat, einen auf ChatGPT basierenden Chatbot in seine App einzufügen. Werden aber personenbezogene Daten Dritter an ChatGPT weitergegeben, muss das datenschutzrechtlich zulässig sein. Genauso muss ChatGPT eine Rechtsgrundlage für die Nutzung der personenbezogenen Daten im Tool vorweisen können (was nach Aussage der italienischen Datenschutz-Aufsichtsbehörde derzeit nicht der Fall ist).
OpenAI als Auftragsverarbeiter nach Art. 28 DSGVO
Wer personenbezogene Daten (z. B. Name, Alter, Geschlecht, Gesundheitszustand oder Familienstand) Dritter verarbeitet, kann diese nach Art. 28 der Datenschutzgrundverordnung (DSGVO) nur unter bestimmten Voraussetzungen an andere Personen weitergeben. Im Falle einer weisungsgebundenen Tätigkeit muss ein Vertrag abgeschlossen werden, in dem sich der Auftragsverarbeiter verpflichtet, die personenbezogenen Daten des oder der Betroffenen angemessen zu schützen („Auftragsverarbeitungsvertrag“ bzw. AVV, Art. 28 Abs. 3 DSGVO). Ohne den Abschluss eines solchen Vertrages mit OpenAI verstößt die Übermittlung von personenbezogenen Daten Dritter gegen die DSGVO. OpenAI schließt eine solche Vereinbarung aber nur mit Nutzerinnen und Nutzern der GPT-Programmierschnittstelle ab (vgl. Abschnitt 5c der OpenAI-AGB), nicht aber mit Nutzerinnen und Nutzern von ChatGPT. Es sollten also keine personenbezogene Daten Dritter an ChatGPT weitergegeben werden.
Übermittlung in die Vereinigten Staaten
Sowohl der Sitz als auch die Server von OpenAI befinden sich in den Vereinigten Staaten. Wenn personenbezogene Daten in ein Nicht-EU-Land übertragen werden, gelten dafür nach Art. 44-50 DSGVO besondere Anforderungen. Besteht gemäß Art. 45 DSGVO für den betreffenden Staat ein Angemessenheitsbeschluss der Europäischen Kommission (z. B. für Kanada oder Japan), so können die Daten ohne weitere Hürden in den Drittstaat übermittelt werden, wenn im Übrigen die datenschutzrechtlichen Vorschriften eingehalten werden. Für die USA besteht derzeit kein solches Abkommen, nachdem der EuGH auch das sog. „Privacy-Shield“-Abkommen für nichtig erklärte.
Da bei Nutzung von ChatGPT Daten in die USA übertragen werden, müssen nach Art. 46 DSGVO geeignete Garantien für den Schutz der personenbezogenen Daten bestehen. Dies kann unter anderem durch die Verwendung von Standardvertragsklauseln geschehen. Da aktuell keine die Möglichkeit besteht, als Nutzer oder Nutzerin von ChatGPT eine Vereinbarung mit solchen Standardvertragsklauseln abzuschließen, kann die Verarbeitung/Übermittlung nicht rechtskonform durchgeführt werden. Wir empfehlen also derzeit, keine personenbezogenen Daten bei ChatGPT einzugeben, da deren Transfer in die USA derzeit unzulässig ist. Allgemeine Anfragen ohne die Angabe von personenbezogenen Daten bleiben aber möglich.
Daten über Privatpersonen („Recht auf Vergessenwerden“)
Aktuell ist ChatGPT zwar ein nützliches Werkzeug, oft sind die Antworten des Chatbots aber auch falsch. Wenn ChatGPT falsche Informationen über eine lebende Person angibt, hat der oder die Betroffene ein Recht auf Berichtigung nach Art. 16 DSGVO. Daneben kommt auch in bestimmten Fällen das Recht auf Vergessenwerden gemäß Art. 17 DSGVO in Betracht. In der sog. „Google Spain“-Entscheidung (Az. C-131/12) hat der EuGH entschieden, dass Suchmaschinenanbieter selbst dann, wenn gegenüber dem Betreiber einer Internetseite selbst kein Anspruch nach Art. 17 DSGVO besteht, zur Löschung eines Suchergebnisses verpflichtet sein können. Denkbar wäre, dass der EuGH eine entsprechende Entscheidung ebenfalls zu Diensten wie ChatGPT trifft.
AI Act
Der sich gegenwärtig im Gesetzgebungsverfahren befindende AI Act („KI-Verordnung“) soll europaweit die Nutzung von KI regulieren. Manche KI-Anwendungen sollen vollständig untersagt werden (z. B. „Social-Credit“-Systeme). Daneben soll auch eine Kategorie von „Hochrisiko-Anwendungen“ eingeführt werden. Solche sind grundsätzlich nicht verboten, es werden aber hohe Anforderungen an ihren Betrieb gestellt. Wenn eine KI mit Datensätzen trainiert werden soll (insbes. „machine-learning“), muss sichergestellt werden, dass die Daten repräsentativ, fehlerfrei und vollständig sind; eine Diskriminierung soll verhindert werden. Daneben treffen die Betreiber auch eine ganze Reihe anderer Transparenz-, Sicherheits- und Informationspflichten.
ChatGPT und andere Chatbots sollen nach dem AI Act als Hochrisiko-Anwendung eingestuft werden. Ob und wie der Betrieb von ChatGPT mit dem AI Act vereinbar sein wird, ist völlig offen. Es wird Aufgabe von OpenAI sein, die diversen Vorgaben des AI Acts umzusetzen. Da ein Enddatum des Gesetzgebungsverfahrens beim AI Act noch nicht abzusehen ist, spielen die Regelungen derzeit noch keine Rolle. ChatGPT wird aber sicherlich künftig einer der interessantesten Anwendungsfälle hinsichtlich des neuen Gesetzes werden.
Fazit zu rechtlichen Fragen bei ChatGPT
ChatGPT wird die Gerichte in den nächsten Jahren sicherlich vielfach beschäftigen. Die Einordnung von ChatGPT in die geltende Rechtsordnung bereitet einige Schwierigkeiten. Viele Zivilrechtsnormen stammen aus einer Zeit, in der eine KI mit einer derartigen Leistungsfähigkeit noch nicht vorstellbar war. An verschiedener Stelle wird ein Tätigwerden des Gesetzgebers erforderlich sein, um für eine sachgerechte Einordnung von hochentwickelten künstlichen Intelligenzen zu sorgen.
Ihr Experte für Datenschutzrecht
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com