Banale Frage, komplexe Antwort?
-
Banale Frage, komplexe Antwort? Liebe #Datenschutz-Nerds:
Angenommen, ich wohne neben Marlis Meier in der Gartenstr. in Stuttgart.
Ich habe zu Marlis keine weiteren Bezug außer, dass ich weiß, dass sie weiß, dass sie eben im Nachbarhaus wohnt. Das weiß ich, weil es mir eine andere Nachbarin erzählt hat.
Ist es (rechtlich und moralisch) zulässig, in ein x-beliebiges LLM (sagen wir ChatGPT) folgendes eintippen:
"Marlis Meier wohnt in der Gartenstr. 3 in Stuttgart"?
@AwetTesfaiesus Juristisch hängt es von der DSGVO ab, die ja nur für Unternehmen einschlägig ist. Macht man das als Unternehmer, muss man die Marlis Meier darüber informieren etc. Außerdem ist es ein Fall von Auftragsdatenverarbeitung, für den man mit dem LLM erst eine genaue Vereinbarung treffen müsste.
Fazit: Sehr wahrscheinlich ist es verboten.
Moralisch denke ich, dass die LLM das eh schon weiß, falls die Marlies im Telefonbuch steht. Falls nicht wäre es halt so ähnlich ... 1/2
-
@AwetTesfaiesus Juristisch hängt es von der DSGVO ab, die ja nur für Unternehmen einschlägig ist. Macht man das als Unternehmer, muss man die Marlis Meier darüber informieren etc. Außerdem ist es ein Fall von Auftragsdatenverarbeitung, für den man mit dem LLM erst eine genaue Vereinbarung treffen müsste.
Fazit: Sehr wahrscheinlich ist es verboten.
Moralisch denke ich, dass die LLM das eh schon weiß, falls die Marlies im Telefonbuch steht. Falls nicht wäre es halt so ähnlich ... 1/2
@AwetTesfaiesus ... wie wenn man z.B. das Foto eines Fremden in Social Media veröffentlicht. Er sollte schon einverstanden sein, denke ich 2/2
-
Der Prompt ist nichts anderes als eine Abfrage in einer Suchmaschine.
Wenn die Daten öffentlich zugänglich sind, dann kann jede Person diese Daten erfragen.
Der wichtige Punkt ist also, ob diese Information prinzipiell öffentlich verfügbar ist. Vergleichbar mit der Panoramaregelung bei Fotografie.
Wenn eine als vertraulich eingestufte Information ohne Genehmigung veröffentlicht wurde, liegt wohl eine Straftat vor. Durch denjenigen, der die Information öffentlich gemacht hat.@_RyekDarkener_ @AwetTesfaiesus Es geht in der Frage ja darum dass die Informationen aus dem Prompt potenziell in den Datensatz aus dem LLM fliessen kann. Und wie die Anbieter gewährleisten dass keine personengebundenen Daten aus Suchanfragen gespeichert werden.
-
@AwetTesfaiesus
IMO greift die Haushaltsausnahme von der DSGVO schon mangels Verbindung zu der anderen Person nicht. Also gilt die DSGVO und es stellen sich alle wichtigen Datenschutz-Fragen.Besonders spießen wird es bei Fairness, Transparenz, Zweckbindung, Rechtsgrundlage, Speicherbegrenzung und der Datenübertragung an Empfangende außerhalb der EU. Das umso mehr, wenn die prompts als Trainingsdaten verwendet werden.
Unabhängig davon: für moralisch vertretbar halte ich es auch nicht.
@r_alb @AwetTesfaiesus greift die DSGVO hier überhaupt?
Art. 2 DSGVO definiert unter
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,”Ausübung ausschließlich persönlicher Tätigkeiten“ müsste in dem genannten Szenario doch zutreffen?
-
@_RyekDarkener_ @AwetTesfaiesus Es geht in der Frage ja darum dass die Informationen aus dem Prompt potenziell in den Datensatz aus dem LLM fliessen kann. Und wie die Anbieter gewährleisten dass keine personengebundenen Daten aus Suchanfragen gespeichert werden.
Ein LLM verwaltet: Token. Und erstellt darauf basierend eine plausibel klingende Antwort.
Wenn LLMs Zugang zu strukturierten Datensätzen haben, dann können sie damit arbeiten – wie jedes andere Programm auch, was Zugang zu diesen Daten hat. Diese sind aber nicht Teil des Sprachmodells selbst.
Somit ist die Frage an sich schon falsch gestellt.
Noch einmal: JEDES Programm, dass Zugriff auf Daten hat, kann mit diesen arbeiten. Das Problem ist nicht das Programm. -
@guy_bockamp @jk @AwetTesfaiesus Wirklich so gut wie jede*r wirft alle mögliche Scheiße in LLMs die bei Providers laufen. Die dümmsten Fragen. Unter anderem weil die Medien da ganz toll animieren „Probier es doch auch mal“. Datenschutzrechtliche, Ökologische oder überhaupt irgendwelche Bedenken - leider Fehlanzeige.
LLM nur da wo sie Algorithmen gegenüber sinnvoll genutzt werden.
Lokale Modelle sind immer vorzuziehen.@lennybacon @jk @AwetTesfaiesus Sehe ich ähnlich.
Aber die Frage ist, ob der Regulierungsrahmen der DSGVO noch sinntragend ist
-
Banale Frage, komplexe Antwort? Liebe #Datenschutz-Nerds:
Angenommen, ich wohne neben Marlis Meier in der Gartenstr. in Stuttgart.
Ich habe zu Marlis keine weiteren Bezug außer, dass ich weiß, dass sie weiß, dass sie eben im Nachbarhaus wohnt. Das weiß ich, weil es mir eine andere Nachbarin erzählt hat.
Ist es (rechtlich und moralisch) zulässig, in ein x-beliebiges LLM (sagen wir ChatGPT) folgendes eintippen:
"Marlis Meier wohnt in der Gartenstr. 3 in Stuttgart"?
@AwetTesfaiesus Kann man bei deinen Angaben aus meiner Sicht nicht valide beurteilen.
Einfach mal auf der folgenden Seite nach Purpose suchen:
https://gdpr-info.eu/art-5-gdpr/Anders gesagt: Du brauchst einen »Zweck«, warum du diese personenbezogenen Daten verarbeitest. Nach deinen Angaben hast Du aber keinen = Nicht zulässig.
-
@guy_bockamp @jk @AwetTesfaiesus Wirklich so gut wie jede*r wirft alle mögliche Scheiße in LLMs die bei Providers laufen. Die dümmsten Fragen. Unter anderem weil die Medien da ganz toll animieren „Probier es doch auch mal“. Datenschutzrechtliche, Ökologische oder überhaupt irgendwelche Bedenken - leider Fehlanzeige.
LLM nur da wo sie Algorithmen gegenüber sinnvoll genutzt werden.
Lokale Modelle sind immer vorzuziehen.@lennybacon @jk @AwetTesfaiesus
BTW: Persönlich denke ich, wir brauchen dringend ein Grundrecht darauf, gänzlich frei von Interaktion mit KI leben zu können.
-
@AwetTesfaiesus Kann man bei deinen Angaben aus meiner Sicht nicht valide beurteilen.
Einfach mal auf der folgenden Seite nach Purpose suchen:
https://gdpr-info.eu/art-5-gdpr/Anders gesagt: Du brauchst einen »Zweck«, warum du diese personenbezogenen Daten verarbeitest. Nach deinen Angaben hast Du aber keinen = Nicht zulässig.
@AwetTesfaiesus Dabei ist zu beachten, dass es neben den in der GDPR aufgeführten Gründen andere, ggf. lokale, Bestimmungen über die Speicherung oder Verarbeitung von personenbezogenen Daten geben kann.
So kann eine Person die Löschung ihrer Daten fordern, gesetzliche Aufbewahrungsfristen oder Dokumentationspflichten können dem aber entgegen stehen.
Daher sollten IT Systeme diese Fälle (Purpose) unterscheiden können um die Speicherung und Verarbeitung auf die jeweilige Zwecke zu beschränken.
-
@lennybacon @jk @AwetTesfaiesus Sehe ich ähnlich.
Aber die Frage ist, ob der Regulierungsrahmen der DSGVO noch sinntragend ist
@guy_bockamp @jk @AwetTesfaiesus IMHO geht auch ohne AI die DSGVO nicht weit genug. Wären privat Personen inkludiert könnte man doxxing und ungewollte Datenweitergabe damit eindämmen. Es müsste eine Möglichkeit der Meldung geben die effektiv gegen die Millionen Verstöße vorgeht.
-
@lennybacon @jk @AwetTesfaiesus
BTW: Persönlich denke ich, wir brauchen dringend ein Grundrecht darauf, gänzlich frei von Interaktion mit KI leben zu können.
@guy_bockamp @jk @AwetTesfaiesus Das wäre sehr schön. Neben Digitalzwang gibt es ja nun auch einen KI-Zwang.
-
@guy_bockamp @jk @AwetTesfaiesus IMHO geht auch ohne AI die DSGVO nicht weit genug. Wären privat Personen inkludiert könnte man doxxing und ungewollte Datenweitergabe damit eindämmen. Es müsste eine Möglichkeit der Meldung geben die effektiv gegen die Millionen Verstöße vorgeht.
@lennybacon @jk @AwetTesfaiesus Verstehe ich.
Dennoch denke ich, die DSGVO war gleichzeitig zu ambitioniert. Heute würde ich sagen, die Ideen waren oft 'out of this world' und haben (wiewohl alle richtig) die Menschen überfordert.
-
@lennybacon @jk @AwetTesfaiesus Verstehe ich.
Dennoch denke ich, die DSGVO war gleichzeitig zu ambitioniert. Heute würde ich sagen, die Ideen waren oft 'out of this world' und haben (wiewohl alle richtig) die Menschen überfordert.
@guy_bockamp @jk @AwetTesfaiesus Meine ideale …
️ … Realität -
Weiterhin: Name und Hausnummer stehen auch am Haus (Briefkasten, Klingel)
@AwetTesfaiesus Außer in modernen Häusern mit Eigentumswohnungen. Dort stehen häufig nur Wohnungsnummern.
-
@AwetTesfaiesus Kann man bei deinen Angaben aus meiner Sicht nicht valide beurteilen.
Einfach mal auf der folgenden Seite nach Purpose suchen:
https://gdpr-info.eu/art-5-gdpr/Anders gesagt: Du brauchst einen »Zweck«, warum du diese personenbezogenen Daten verarbeitest. Nach deinen Angaben hast Du aber keinen = Nicht zulässig.
@h_albermann @AwetTesfaiesus Ich denke, das offen zu lassen, war Teil der Intention hinter der Frage.
Die Antwort ist dann: "Es kommt darauf an." Und dann ist die Frage: worauf?
BTW: die Prüfungsreihenfolge wäre wohl, ob der Anwendungsbereich überhaupt eröffnet ist (Art. 2 Abs. 2)
-
@h_albermann @AwetTesfaiesus Ich denke, das offen zu lassen, war Teil der Intention hinter der Frage.
Die Antwort ist dann: "Es kommt darauf an." Und dann ist die Frage: worauf?
BTW: die Prüfungsreihenfolge wäre wohl, ob der Anwendungsbereich überhaupt eröffnet ist (Art. 2 Abs. 2)
@guy_bockamp @AwetTesfaiesus Oder einfacher: Die Antwort lautet nein, solange ich keinen guten Grund anführen kann.
Was ein guter Grund ist …
-
@guy_bockamp @AwetTesfaiesus Oder einfacher: Die Antwort lautet nein, solange ich keinen guten Grund anführen kann.
Was ein guter Grund ist …
@h_albermann @AwetTesfaiesus moralisch: eher ja
juristisch: nein -
Banale Frage, komplexe Antwort? Liebe #Datenschutz-Nerds:
Angenommen, ich wohne neben Marlis Meier in der Gartenstr. in Stuttgart.
Ich habe zu Marlis keine weiteren Bezug außer, dass ich weiß, dass sie weiß, dass sie eben im Nachbarhaus wohnt. Das weiß ich, weil es mir eine andere Nachbarin erzählt hat.
Ist es (rechtlich und moralisch) zulässig, in ein x-beliebiges LLM (sagen wir ChatGPT) folgendes eintippen:
"Marlis Meier wohnt in der Gartenstr. 3 in Stuttgart"?
@AwetTesfaiesus Zunächst verarbeitest du hier personenbezogene Daten innerhalb der EU. Daher wäre die DSGVO anwendbar. Haushaltsausnahme greift nicht.
Als Rechtsgrundlage käme nur der Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) in Betracht. Zur Prüfung hat der EuGH eine 3-Schritt-Methode entwickelt:
-
@AwetTesfaiesus Zunächst verarbeitest du hier personenbezogene Daten innerhalb der EU. Daher wäre die DSGVO anwendbar. Haushaltsausnahme greift nicht.
Als Rechtsgrundlage käme nur der Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung) in Betracht. Zur Prüfung hat der EuGH eine 3-Schritt-Methode entwickelt:
1. Du musst ein berechtigtes Interesse an der Verarbeitung verfolgen. Hier fällt es mir schwer, eines zu erkennen. Das heißt, die Prüfung wäre aus meiner Sicht hier schon zu Ende.
2. Die Verarbeitung muss erforderlich sein, um das Interesse zu verwirklichen.
3. Die Rechte und Freiheiten der betroffenen Person dürfen nicht überwiegen.Alle drei Schritte müssen zu "deinen Gunsten" ausgehen. Das wäre hier nicht der Fall -> keine Rechtsgrundlage -> rechtlich nicht zulässig.
-
1. Du musst ein berechtigtes Interesse an der Verarbeitung verfolgen. Hier fällt es mir schwer, eines zu erkennen. Das heißt, die Prüfung wäre aus meiner Sicht hier schon zu Ende.
2. Die Verarbeitung muss erforderlich sein, um das Interesse zu verwirklichen.
3. Die Rechte und Freiheiten der betroffenen Person dürfen nicht überwiegen.Alle drei Schritte müssen zu "deinen Gunsten" ausgehen. Das wäre hier nicht der Fall -> keine Rechtsgrundlage -> rechtlich nicht zulässig.
@AwetTesfaiesus Das ist natürlich nur eine Kurzversion, die den "wenigen" 500 Zeichen bei Mastodon geschuldet ist.
