Die Einbindung von KI-Chats nach dem Vorbild von ChatGPT in Games wird neue spannende Möglichkeiten für das Medium eröffnen. Denkbar sind Weiterentwicklungen von text-basierten Genres, tiefgreifende Geschichten und Quests und eine viel immersivere Welt für die Spieler:innen.
Doch auch diese Form der Implementierung von KI in Videospielen birgt rechtliche Risiken. Im Folgenden werden vorrangig die datenschutzrechtlichen Bedenken durchleuchtet. Vor dem Hintergrund, dass europäische Datenschutzbehörden Strafen in Millionenhöhe verhängen, sollte dem Schutz der Daten von Spieler:innen bereits seit Anbeginn der Entwicklung besondere Bedeutung beigemessen werden („Privacy by Design“). Das ursprünglich verhängte (und mittlerweile revidierte) ChatGPT-Verbot in Italien sowie weitere Diskussionen zur Regulierung von KI zeugen davon, dass Behörden bei KI-Tools durch die rasante Entwicklung in der Technologie noch hellhöriger geworden sind.
Die besonderen Datenschutzrisiken bei dem Einsatz generativer KI-Modelle stammen davon ab, dass Spieler:innen im Rahmen der Nutzung eines KI-Chats auch Informationen über sich selbst oder auch über Dritte preisgeben können. Zu den Informationen können z.B. Klarnamen, Alter, Geschlecht, aber auch weitaus sensiblere Informationen wie sexuelle Orientierung, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen gehören. Diese Informationen unterfallen dem Schutz der DSGVO, da es sich sowohl um personenbezogene Daten nach Art. 4 Nr. 1 DSGVO als auch um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO handelt. Zudem kann es vorkommen, dass diese Informationen von minderjährigen Personen geteilt werden.
Eine Verarbeitung dieser Daten durch das Spiel entfaltet besondere Risiken und Pflichten für Entwickler:innen und Publisher. An erster Linie steht, dass die personenbezogenen Daten ohne eine Rechtsgrundlage nicht verarbeitet werden dürfen. Besonders relevant sind Rechtsgrundlagen in Art. 6 Abs. 1 DSGVO. Darunter fallen die wohl am meisten Verbreiteten Rechtsgrundlagen der Einwilligung (lit. a) und des berechtigten Interesses des Verarbeiters (lit. f). Da jedoch auch besondere Kategorien personenbezogener Daten verarbeitet werden können, ist zu berücksichtigen, dass dies nur in den Fällen des Art. 9 Abs. 2 DSGVO möglich ist. Werden personenbezogene Daten durch ein im Drittland angesiedelten KI-Anbieter verarbeitet, ergeben sich zudem weitere Pflichten.
Ein weiteres Problem bereiten die sog. Betroffenenrechte, die sich aus Art. 15 ff DSGVO ergeben. Personen, deren personenbezogene Daten verarbeitet werden, haben demnach Ansprüche auf Auskunft über die Verarbeitungszwecke, auf Berichtigung sowie auf Löschung der Daten. Da LLMs derart komplex aufgebaut sind, stellt sich hier das Problem der sog. „Black-Box“. Selbst Herstellern von KI ist es nicht möglich, gänzlich offenzulegen und nachzuvollziehen, wie die eingegebenen Daten abgespeichert und verarbeitet werden. Demnach ist es ihnen auch nicht technisch möglich einzelne Daten zu löschen oder gezielt anzupassen.
Spielehersteller:innen können den datenschutzrechtlichen Problemen mit gezielten Maßnahmen wie Auftragsverarbeitungsverträgen (DPA) mit den KI-Anbietern, Privacy Impact Assessments (PIA), Data Privacy Impact Assessments (DPIA), Transfer Impact Assessments (TIA), der Verwendung von Standardklauseln für die Verarbeitung in einem Drittstaat (SCCs), sowie die Vornahme technischer und organisatorischer Maßnahmen (TOMs) entgegenwirken. Vollständige Sicherheit kann in dieser Stufe der rechtlichen Entwicklung jedoch nicht gewährleistet werden.
Für die Praxis ist folgendes festzuhalten:
- Wenn im Spiel ein LLM-basierter KI-Chat implementiert werden soll, müssen die Entwickler:innen darauf achten, dass die von Spieler:innen eingegebenen Informationen derart verschlüsselt werden, dass die Entwickler:innen nicht darauf zugreifen können und die KI nicht damit trainiert wird.
- Sollen die eingegebenen Informationen für das Training der KI verwendet werden sollen, ist hier an eine Ausgestaltung der Einwilligung für Spieler:innen, sowie einen Hinweis auf die Möglichkeit eines Widerrufs dieser Einwilligung zu denken.
- Darüber hinaus sollten sich Entwickler:innen und Publisher ihren Auskunfts- und Löschplichten aus der DSGVO bewusst sein.
- Entwickler:innen und Publisher sollten sämtliche datenschutzrechtliche Maßnahmen ergreifen (DPA, PIA, DPIA, TIA, SCCs; TOMs, etc.)