Pessimist! (Ich auch.)
Es schlägt ja auch außerhalb des Datenschutzrechts Wellen, z. B. beim Urheberrecht. Und da sind wir am wesentlichen Punkt: Zum Trainieren und beim Einsatz werden die Systeme mit Daten gefüttert. Auch mit pbDaten. Die fließen evtl. in die Ergebnisse ein. Irgendwas davon kann sich auf Rechte und… der Betroffenen auswirken.
Zunächst kommt es mir auf den Input an. Da geht es um Nutzerdaten; wer, evtl. Konto beim Dienst, was /welche Themen, wann bzw. wie häufig… Dann um Inhaltsdaten, also den Chatinhalt, die Aufgabenstellung und dabei anfallende Angaben. Es wird Leute geben, die das Maschinchen mit kompletten Dokumenten, Personenabbildungen, Kontaktdaten usw. füttern, im weiteren Verlauf daran anknüpfen und komplette Vorgänge darüber abwickeln lassen.
Das sind ganz normale Datenschutzaspekte: Darf ich das mit diesen Daten tun? Unter Beachtung der Grundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung… und Einzelvorschriften wie besondere Kategorien, automatisierte Entscheidungsfindung, Drittlandabsicherung, Forschung…
Ist mir die Verarbeitung auch zu diesem Zweck erlaubt, der mehr oder weniger kompatibel mit dem ursprünglichen sein kann? Die Auslagerung an einen Dienstleister bzw. Übermittlung der Daten an den Dritten? Welche eigenen Zwecke verfolgt er (Training, Profiling…)? Ist die Drittlandabsicherung tauglich?
Onkel Dagobert hatte Elektronengehirne, aus denen hinten ein beschrifteter Streifen herauskam. Was wäre das in diesem Fall? Aufgefundene bzw. neu generierte Daten, die vielleicht den Personen aus dem Input zuordenbar sind, oder anderen. Auf Basis der erkenntnisse getroffene Entscheidungen.
Im unproblematischsten Fall geht es um nicht personenbeziehbare, evtl. synthetische Daten. Im schlimmsten Fall um sensible Daten, von denen jetzt auch der KI-Dienst weiß; Daten, die vom Verantwortlichen für undurchsichtige Zwecke ohne Kenntnis der Betroffenen verarbeitet werden; dass man auf die Ergebnisse vertraut und auf ihrer Basis Entscheidungen trifft, Leistungen erbringt, die signifikante Folgen haben.
Dieser Verarbeitungsvorgang müsste sich in den Pflichtinformationen wiederfinden. Was schreibt man da? Wenn man selbst nicht weiß, was alles passiert, bzw. wie das Ergebnis zustande kommt. Wie so oft auf die Datenschutzinfo der Plattform verweisen? Geht nicht, weil es darauf ankommt, was man darüber laufen lässt, und die eigenen Zwecke.
Praktisch würde ich empfehlen, sich um die Anonymisierung des Inputs zu kümmern. Auch die Rolle der Nutzer zu bedenken und sie ggf. durch Proxies o. ä. von der Profilbildung abzuschirmen. Und die Ergebnisse kritisch zu hinterfragen.
D., eher skeptisch. Dem im echten Leben die Idee über den Weg lief, irgendwas mit ChatGPT machen zu müssen. Der daraufhin konkrete Zwecke usw. verlangt hat. Seitdem Stille. Spart ja auch Strom.