ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?

Die Aufsichtsbehörden in Deutschland gehen aktuell datenschutzrechtlichen Fragen in Bezug auf ChatGPT nach. Auslöser war eine Entscheidung der italienischen Datenschutzbehörde GPDP. Die Datenschutzbehörde stellte fest, dass für die Sammlung von Nutzerdaten aus „Unterhaltungen“ mit dem Chatbot keine Rechtsgrundlage vorliegt.
Zudem werden die Nutzer nicht hinreichend über die Verarbeitung ihrer Daten informiert und es ist kein ausreichender Schutz bei der Verarbeitung von Daten Jugendlicher sichergestellt. Außerdem soll es zu einer Datenpanne gekommen sein, bei der Daten aus „Unterhaltungen“ sowie Zahlungsinformationen betroffen waren. Die Behörde untersagte daraufhin die Nutzung des Chatbots in Italien.

Wir fassen den Status quo in Deutschland und die wichtigsten Fakten rund um ChatGPT und den Datenschutz zusammen.

Was ist ChatGPT und zu wem gehört es?

ChatGPT steht für Chatbot Generative Pre-trained Transformer und ist eine sprachbasierte Anwendung. Das bedeutet, die Nutzer können über Texteingaben mit ChatGPT kommunizieren und Antworten auf ihre Fragen generieren lassen.

So funktioniert ChatGPT

Der Chatbot basiert auf dem Deep-Learning-Prinzip, einem Teilgebiet des maschinellen Lernens. Vereinfacht gesagt steckt hinter ChatGPT ein künstliches neuronales Netz, das ähnlich wie das menschliche Gehirn funktioniert und lernen kann, Texte zu verstehen und bestimmte Entscheidungen zu treffen.

Mit jeder Unterhaltung lernt der Chatbot dazu und ist so in der Lage, menschenähnliche Antworten zu geben.

ChatGPT ist der Chatbot des ehemaligen Forschungsunternehmens OpenAI LP, das mittlerweile gewinnorientiert arbeitet und von der Non-Profit-Organisation OpenAI Inc. kontrolliert wird. Finanziert wurde das Unternehmen unter anderem von Microsoft und Elon Musk. Inzwischen distanziert sich Musk von OpenAI. Zu den Unterstützern gehören unter anderem Amazon Web Services, Infosys Technologies und Mitbegründer von LinkedIn undPayPal.

ChatGPT & Datenschutz: Was ist das Problem?

Um immer besser zu werden, greift ChatGPT auf Millionen Texte und Informationen zu, die frei im Internet verfügbar sind. Zusätzlich nutzt die KI die Benutzereingaben von mittlerweile Privatpersonen und Unternehmen zum Trainieren.

Dabei ist nicht auszuschließen, dass auch persönliche und sensible Informationen verarbeitet werden – so wie in Italien, wo im Jahr 2023 eine Datenschutzpanne zur Preisgabe persönlicher Informationen in fremden Chats führte.

Rückblick: Warum hat Italien ChatGPT verboten?

Nachdem der Datenschutzverstoß in Italien aufgeflogen war, warf die Datenschutzbehörde des Landes dem Anbieter OpenAI unter anderem vor, gegen die Datenschutzgrundsätze der Zweckbindung und der Datenminimierung zu verstoßen, Daten ohne Rechtsgrundlage zu verarbeiten und die Rechte betroffener Personen nicht ausreichend sicherzustellen.

Damit das Verbot der Datenverarbeitung mittels ChatGPT in Italien wieder aufgehoben werden konnte, verlangte die Aufsichtsbehörde von OpenAI eine Reihe von Maßnahmen. Der Anbieter musste:

• eine Datenschutzinformation veröffentlichen, die unter anderem die Logik der für den Betrieb von ChatGPT erforderlichen Datenverarbeitung beschreibt
• eine Alterskontrolle einführen
• eine klare Rechtsgrundlage schaffen, wobei aus Sicht der italienischen Behörde nur die Einwilligung der Nutzer oder ein berechtigtes Interesse in Betracht kommen
• Vorkehrungen treffen, um die Ausübung von Betroffenenrechten etwa auf Löschung von oder Auskunft über Daten zu ermöglichen – auch für Nicht-Nutzer
• in einer Informationskampagne über Radio, Fernsehen, Zeitungen und Internet die italienischen Bürger über die Datenverarbeitung für KI-Trainingszwecke aufklären

Am 28.04.2023 durfte ChatGPT in Italien wieder genutzt werden. Laut örtlicher Aufsichtsbehörde stellte OpenAI gemäß der Datenschutzanforderungen den Dienst in Italien mit verbesserter Transparenz und verbesserten Rechten wieder her.

Wie beurteilen deutsche Datenschützer ChatGPT?

Einige Datenschützer in Deutschland teilten damals die Bedenken der italienischen Aufsichtsbehörde und forderten ähnliche Maßnahmen. Für eine Überprüfung benötigen die zuständigen Landesdatenschutzaufsichtsbehörden weitreichende Informationen.

Aufgrund ihrer Komplexität war die datenschutzrechtliche Beurteilung von Künstlicher Intelligenz jedoch eine Herausforderung. So fehlten für eine Prüfung des Datenschutzes von ChatGPT

• Angaben über die Datenquellen
• Informationen über die Algorithmen hinter der automatisierten Datenverarbeitung und
• Klarheit darüber, ob Daten an Dritte mit kommerziellen Interessen weitergegeben werden.

2023 haben sich deutsche Datenschutzaufsichtsbehörden eingehend mit ChatGPT und dem Datenschutz beschäftigt. In seinem Tätigkeitsbericht für 2023 hat der niedersächsische Landesbeauftragte für den Datenschutz eine datenschutzrechtliche Bewertung für ChatGPT abgegeben und kam unter anderem zu dem Ergebnis, dass Betroffenenrechte nur eingeschränkt umsetzbar sind.

Die wichtigsten Fakten zu ChatGPT und Datenschutz

Grundlage der datenschutzrechtlichen Prüfung war die Datenschutzgrundverordnung (DSGVO). Werden personenbezogene Daten in ChatGPT verarbeitet, ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Die wichtigsten fasst die folgende Übersicht zusammen.

Einwilligung in die Datenverarbeitung

Die DSGVO erlaubt die Verarbeitung von Daten, wenn eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt. Die Datenverarbeitung muss zum Beispiel zur Erfüllung vertraglicher Pflichten notwendig sein oder auf einem berechtigten Interesse des Betreibers basieren. Dabei dürfen die Schutzinteressen betroffener Personen nicht verletzt werden.

Ohne eine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO, darf die Verarbeitung nur mit Einwilligung der betroffenen Person geschehen. Dafür ist eine transparente Information der betroffenen Person über die Datenverarbeitung und ihre Auswirkungen erforderlich.

Da eine KI wie ChatGPT hinsichtlich des Datenschutzes als Blackbox gilt, können Unternehmen in der Regel keine detaillierten Informationen über die Datenverarbeitung geben. Eine wirksame Einwilligung ist deshalb nahezu unmöglich.

Transparenz über die Verarbeitung der Daten

Die DSGVO gibt vor, dass Daten einer betroffenen Person in einer für sie nachvollziehbaren Weise verarbeitet werden müssen. Auch dieser Vorgabe steht die Intransparenz bezüglich der Funktionsweise des KI-Modells hinter ChatGPT entgegen.

Trotzdem müssen Unternehmen ihren Informationspflichten aus Art. 13 und 14 DSGVO nachkommen. Gemäß Art. 13 DSGVO müssen sie die betroffene Person in verständlicher und leicht zugänglicher Weise über die Datenverarbeitung und die Funktionsweise der eingesetzten KI informieren. Dazu gehören auch Informationen über den Umfang der Datenverarbeitungen, die Rechtsgrundlage und die Empfänger.

Schutz der Rechte betroffener Personen

Betroffene Personen müssen über ihre datenschutzrechtlichen Rechte aufgeklärt werden. Auch bei der Nutzung von ChatGPT müssen Unternehmen laut DSGVO die Rechte betroffener Personen erfüllen und verarbeitete Daten z. B. auf Anfrage löschen können. Das kann allerdings problematisch sein, sofern unklar ist wie die Verarbeitung stattfindet und wie personenbezogene Daten gespeichert werden. In der Regel werden zumindest Prompts und Ausgaben für einige Zeit gespeichert, sodass verantwortliche Unternehmen zu diesen beauskunften und gegebenenfalls eine Löschung durchführen müssen.

Datenschutzrechtliche Rolle von OpenAI

Gewerbliche ChatGPT-Nutzer können den Chatbot in ihre internen Prozesse einbinden. Sie sind damit datenschutzrechtlich für die Datenverarbeitung verantwortlich. Da OpenAI in dieser Konstellation Zugriff auf die Daten des Unternehmens hat, sollte der von OpenAI angebotene Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Nur so kann ein Unternehmen sicherstellen, dass Daten nur in ihrem Auftrag und nicht etwa zum Training des KI-Modells genutzt werden.

Datenübermittlung in ein Drittland

Der Chatbot ist ein Angebot des US-amerikanischen Unternehmens Open-AI. Oftmals werden die Verträge zwischen OpenAI und EU-Kunden allerdings mit der irischen Gesellschaft, OpenAI Ireland Ltd., abgeschlossen, sodass kein direkter Datentransfer an die US-Gesellschaft stattfindet. Indirekt ist diese jedoch, neben anderen Verbundgesellschaften, als Unterauftragsverarbeiter der irischen Gesellschaft aufgelistet. Es ist also trotzdem zu prüfen, ob OpenAI entsprechende datenschutzrechtliche Garantien und Verträge sicherstellt, um ein angemessenes Schutzniveau für Daten sicherzustellen, die an OpenAI Verbundgesellschaften oder andere Unterauftragsverarbeiter übermittelt werden.

Wie können Unternehmen ChatGPT möglichst sicher nutzen?

ChatGPT hat für die Nutzer viele Vorteile, allerdings lässt sich mit dem Chatbot auch Schaden anrichten. Kriminelle können das Tool zum Beispiel nutzen, um ihre Phishing-Angriffe zu verbessern. Zudem herrscht große Unsicherheit in Bezug auf den Datenschutz von ChatGPT. Solange der Algorithmus hinter dem Chatbot eine Blackbox ist, sollten private Nutzer und Unternehmen die Anwendung mit größter Vorsicht verwenden. Eine sichere Möglichkeit, ChatGPT zu nutzen und DSGVO-konform zu bleiben, gibt es aktuell nicht. Nutzer der KI können jedoch Vorsichtsmaßnahmen treffen, um das Risiko einer Datenpanne so weit wie möglich zu reduzieren.

Mit Newsletter und Downloads up-to-date bleiben

Unternehmen, die über den Einsatz von ChatGPT nachdenken oder bereits erste Schritte mit dem Tool machen, sollten sich aktiv über die weiteren Entwicklungen und die Prüfung durch die Behörden informieren. Über die Diskussion rund um ChatGPT-Datenschutz informiert Sie regelmäßig unser Proliance Newsletter.

Außerdem bieten wir Ihnen Leitfäden und Checklisten für Hintergrundwissen rund um Künstliche Intelligenz und den möglichst sicheren Einsatz von KI-Tools wie ChatGPT.

Ausblick für ChatGPT in Europa

Noch herrscht in Bezug auf ChatGPT viel Unklarheit beim Datenschutz. Schulen, Universitäten und Privatpersonen nutzen den Chatbot dennoch fleißig weiter. Das gilt auch für Unternehmen. Mit der KI-Verordnung der Europäischen Union gibt es nun immerhin verbindliche Leitplanken für den Einsatz von ChatGPT in Unternehmen.

Der AI-Act bringt die Vorschriften für KI-Systeme in den Mitgliedsstaaten der EU in Einklang. Die Richtlinie teilt KI-Anwendungen in vier Risiko-Kategorien ein. Je höher die Risikostufe, desto strenger die Regelungen.

Trotz der KI-Verordnung liegt es weiterhin in der Hand der Unternehmen, den Datenschutz bei der Verwendung von KI-Tools wie ChatGPT zu beachten. Wichtig ist, die Mitarbeitenden im Umgang mit Künstlicher Intelligenz zu schulen und Richtlinien für die KI-Nutzung festzulegen. Außerdem sollten Unternehmen gemeinsam mit ihrem Datenschutzbeauftragten regelmäßig prüfen, ob die Sicherheitsmaßnahmen für den Schutz von Daten auf dem aktuellen Stand sind und den aktuellen gesetzlichen Vorgaben entsprechen.