anonym.legal
Zurück zum BlogDSGVO & Compliance

Garante Italien: Die DPA, die ChatGPT verboten hat — Was italienische KI- und PII-Compliance erfordert

Der Garante Italiens verhängte im Dezember 2024 eine Geldstrafe von 15 Millionen Euro gegen OpenAI und verbot ChatGPT vorübergehend im Jahr 2023. 63 % der italienischen Unternehmen haben keine KI-Datenverwaltungsrichtlinien. Technische Anforderungen zur Erkennung von codice fiscale und partita IVA.

March 7, 20269 min Lesezeit
Italy Garantecodice fiscale detectionChatGPT ban ItalyItalian data protectionAI GDPR compliance

Der Garante per la protezione dei dati personali (Garante) ist der aggressivste KI-Datenschutzregulator der EU. Im März 2023 wurde der Garante die erste Datenschutzbehörde weltweit, die ChatGPT vorübergehend aus Italien verbot — was OpenAI zwang, explizite Altersverifikations- und Transparenzmaßnahmen umzusetzen, bevor der Dienst wiederhergestellt wurde. Im Dezember 2024 verhängte der Garante eine Geldstrafe von 15 Millionen Euro gegen OpenAI wegen rechtswidriger Verarbeitung italienischer Nutzerdaten.

Für Organisationen, die KI-Tools in Italien verwenden — oder KI-Systeme bereitstellen, die möglicherweise italienische personenbezogene Daten verarbeiten — setzt das Durchsetzungsverhalten des Garante die anspruchsvollsten technischen Erwartungen in der EU.

Der Fall OpenAI/ChatGPT: Was der Garante festgestellt hat

Die Geldstrafe von 15 Millionen Euro des Garante gegen OpenAI im Dezember 2024 basierte auf mehreren Verstößen:

Versagen der Altersverifikation: ChatGPT war für italienische Minderjährige ohne angemessene Altersverifikation zugänglich. Der Garante stellte fest, dass OpenAI es versäumt hat, angemessene Maßnahmen zu ergreifen, um die Nutzung durch unter 13-Jährige zu verhindern.

Rechtswidrige Verarbeitung von Trainingsdaten: Der Garante stellte fest, dass die Verwendung italienischer Nutzerdaten durch OpenAI zum Training von ChatGPT 3.5/4 keine angemessene rechtliche Grundlage hatte. Der Anspruch auf "berechtigtes Interesse" wurde abgelehnt — der Garante stellte fest, dass die Verwendung personenbezogener Daten zum Training kommerzieller KI-Modelle entweder die Zustimmung oder eine klarere rechtliche Grundlage erfordert, als sie Anbieter von LLM-Trainings typischerweise anführen.

Mangelnde Transparenz: OpenAI informierte italienische Nutzer nicht ausreichend darüber, wie ihre Daten für das Training verwendet wurden, oder stellte zugängliche Opt-out-Mechanismen bereit.

Praktische Implikationen: Jedes KI-System, das italienische personenbezogene Daten verarbeitet — sei es beim Training, Fine-Tuning oder Inferencing auf italienischen Nutzereingaben — muss eine dokumentierte rechtliche Grundlage gemäß den Standards des Garante haben, die über einfache "berechtigte Interessen" hinausgeht. Zustimmung oder die Erfüllung spezifischer Verträge sind typischerweise erforderlich.

Italienische nationale Identifikatoren

Codice fiscale: Italiens 16-stelliger alphanumerischer Steuercode — einer der informationsreichsten nationalen Identifikatoren in der EU. Struktur:

  • Zeichen 1-3: Konsonanten aus dem Nachnamen (spezifische Extraktionsregeln)
  • Zeichen 4-6: Konsonanten und Vokale aus dem Vornamen (spezifische Extraktionsregeln)
  • Zeichen 7-8: Letzte zwei Ziffern des Geburtsjahres
  • Zeichen 9: Buchstabe, der den Geburtsmonat darstellt (A=Januar, B=Februar, C=März, D=April, E=Mai, H=Juni, L=Juli, M=August, P=September, R=Oktober, S=November, T=Dezember)
  • Zeichen 10-11: Geburtsdatum (männlich: Tagesnummer; weiblich: Tag + 40)
  • Zeichen 12-15: Belfiore-Code (4 Zeichen) der Geburtsgemeinde oder des Landes
  • Zeichen 16: Prüfziffer (Buchstabe, berechnet mit einem spezifischen Algorithmus)

Der codice fiscale kodiert die Anfangslaute des Nachnamens, die Anfangslaute des Vornamens, das Geburtsdatum, das Geschlecht (über die Kodierung des Geburtsdatums) und den Geburtsort. Er ist arguably der persönlich identifizierendste nationale Identifikator der EU nach Informationsgehalt.

Erkennungsgenauigkeit: Generische NLP-Tools erkennen codice fiscale nur mit 67 % Genauigkeit (Garante 2024 technische Analyse). Die Mängel: Tools, die 16-stellige alphanumerische Muster abgleichen, ohne den Algorithmus zur Prüfziffer zu implementieren, können gültige codici fiscali nicht von falsch positiven Ergebnissen unterscheiden; Tools, die die Extraktionsregeln für Nachnamen/Vornamen nicht implementieren, können bestehende Nummern nicht validieren.

Partita IVA: Italiens 11-stellige Umsatzsteuer-Identifikationsnummer, mit einer Prüfziffer, die mit einem gewichteten Summenmodulus-10-Algorithmus berechnet wird. Die letzte Ziffer ist die Prüfziffer. Die partita IVA erscheint in allen italienischen Handelsdokumenten — Rechnungen, Verträgen und Geschäftskorrespondenz.

Tessera sanitaria: Italiens Gesundheitskarte — kombiniert codice fiscale mit zusätzlichen gesundheitsbezogenen Daten. Das Format enthält den codice fiscale als Bestandteil.

Anforderungen des Garante an KI-Tools

Die Richtlinien des Garante zu "technischen und organisatorischen Maßnahmen" für KI-Systeme, die italienische personenbezogene Daten verarbeiten:

Vor der KI-Verarbeitung: PII muss identifiziert und entweder entfernt oder pseudonymisiert werden, bevor sie in KI-Systeme eingegeben wird. Der Kontext der Chrome-Erweiterung/AI-Integration des Garante: Jedes KI-Tool, das italienische personenbezogene Daten (Namen, codici fiscali, Gesundheitsdaten) in Eingabeaufforderungen erhält, muss diese Identifikatoren vor der Übertragung entfernen.

Für das KI-Training: Eine explizit dokumentierte rechtliche Grundlage ist erforderlich. Zustimmung ist die bevorzugte Grundlage des Garante für das Training mit von Nutzern generierten Inhalten in Italien. "Berechtigtes Interesse" erfordert einen dokumentierten Abwägungstest, der zeigt, dass der Trainingszweck die Datenschutzinteressen italienischer Nutzer nicht überwiegt.

Für KI-Ausgaben: Systeme, die Ausgaben über italienische Personen generieren, müssen Schutzmaßnahmen gegen Halluzinationen personenbezogener Daten implementieren (Erzeugung falscher Informationen, die realen Personen zugeschrieben werden) — der Garante hat dies als spezifisches Risiko gekennzeichnet, das technische Minderung erfordert.

63 % der italienischen Unternehmen haben keine GDPR-konformen Richtlinien zur Datenverwaltung für KI (Garante 2024). Für Organisationen, die KI-Tools in Italien bereitstellen: Die Erkennung von codice fiscale und partita IVA mit vollständiger Validierung der Prüfziffer, italienische NER (spaCy it_core_news) und eine dokumentierte rechtliche Grundlage gemäß GDPR für jedes KI-Training mit italienischen personenbezogenen Daten sind die Mindestanforderungen für die Compliance mit dem Garante.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen