Klage des Kentucky Attorney General gegen KI-Chatbot wegen Verletzung des Datenschutzgesetzes
Am 8. Januar kündigte der Attorney General von Kentucky die erste Klage wegen Verstößen gegen das Kentucky Consumer Data Protection Act (KCDPA) gegen ein Unternehmen für künstliche Intelligenz (KI) an. Die Beschwerde behauptet, dass der Beklagte das KCDPA durch unfairen, falschen, irreführenden oder betrügerischen Handlungen und Praktiken sowie durch die unfaire Sammlung und Ausbeutung von Daten von Kindern verletzt hat. Unter anderem enthält die Beschwerde auch Ansprüche gemäß dem Verbraucherschutzgesetz des Bundesstaates und dem Gesetz über Datenverletzungen.
Hintergrund
Der Beklagte entwarf, baute, vermarktete und vertrieb einen KI-Chatbot, der als Produkt für interaktive Unterhaltung beworben wird. Die Beschwerde gibt an, dass das Unternehmen mehr als 20 Millionen monatlich aktive Nutzer und über 180 Millionen monatliche Webseitenbesucher hat. Das Unternehmen bietet eine Web- und mobile Anwendung, die es Nutzern ermöglicht, Millionen von Chatbots zu erstellen, anzupassen und mit ihnen zu kommunizieren, darunter auch bekannte fiktive Kindercharaktere.
Vorwürfe
Die Beschwerde behauptet, dass die Funktionen der Plattform für Kinder unsicher sind, da die Kontoeinrichtung einfach ist und es an effektiver Altersverifikation mangelt. Der Attorney General erklärt, dass die Chatbots darauf ausgelegt sind, Menschen zu emulieren, und dass das Design der Plattform ohne Schutzvorrichtungen erheblichen und nachteiligen Schaden verursachen kann. Zudem wird angeführt, dass die Chatbots ineffektive Chat-Filter haben, was zu einer Exposition gegenüber schädlichen Inhalten führt, wie beispielsweise Gespräche mit sexuell explizitem Inhalt, Förderung von Suizid- oder Selbstverletzungsgedanken sowie Ermutigung zum Konsum von Drogen, Substanzen und Alkohol.
Der Großteil der Beschwerde konzentriert sich auf die Behauptungen, dass der Beklagte gegen das allgemeine Verbraucherschutzgesetz von Kentucky, das Kentucky Consumer Protection Act, verstoßen hat. Der Attorney General behauptet, dass der Beklagte unfair, falsch, irreführend oder betrügerisch gehandelt hat und die Daten von Kindern unfair gesammelt und ausgebeutet hat. Die Beschwerde stellt fest, dass der Beklagte es versäumt hat, effektive, überprüfbare Altersgrenzen, die Zustimmung der Eltern oder Identitätsverifikationsmechanismen zu implementieren, um zu verhindern, dass Kinder unter 13 Jahren auf die Plattform zugreifen oder mit den Chatbots interagieren.
Hinsichtlich des Datenschutzes der Verbraucher behauptet die Beschwerde, dass der Beklagte das KCDPA verletzt hat, indem er keine überprüfbare elterliche Zustimmung zur Erhebung und Verarbeitung personenbezogener Daten von Kindern eingeholt hat. Das KCDPA trat am 1. Januar in Kraft und verlangt von Unternehmen, die personenbezogene Daten von bekannten Kindern, also von Personen unter 13 Jahren, verarbeiten wollen, zuvor eine überprüfbare Zustimmung der Eltern einzuholen.
Rechtsmittel
Bemerkenswert ist, dass der Attorney General lediglich eine einstweilige Verfügung und keine finanziellen Entschädigungen für seinen KCDPA-Anspruch anstrebt. Vor der Einleitung eines Verfahrens wegen Verstößen gegen das KCDPA muss der Attorney General dem Unternehmen 30 Tage schriftlich mitteilen, welche spezifischen Bestimmungen möglicherweise verletzt wurden, und dem Unternehmen 30 Tage Zeit geben, um die angeblichen Verstöße zu beheben. In der Beschwerde wird dieses 30-tägige Recht zur Behebung nicht ausdrücklich angesprochen.
In seiner Ankündigung erklärte der Attorney General, dass die Vereinigten Staaten führend in der Entwicklung von KI sein müssen, dies jedoch nicht auf Kosten der Sicherheit von Kindern geschehen kann. Angesichts des zeitlichen Ablaufs dieser Klage ist klar, dass der Attorney General bereit ist, das KCDPA durchzusetzen.
