ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?

Die Aufsichtsbehörden in Deutschland gehen aktuell datenschutzrechtlichen Fragen in Bezug auf ChatGPT nach. Auslöser war eine Entscheidung der italienischen Datenschutzbehörde GPDP. Die Datenschutzbehörde stellte fest, dass für die Sammlung von Nutzerdaten aus „Unterhaltungen“ mit dem Chatbot keine Rechtsgrundlage vorliegt.
Zudem werden die Nutzer nicht hinreichend über die Verarbeitung ihrer Daten informiert und es ist kein ausreichender Schutz bei der Verarbeitung von Daten Jugendlicher sichergestellt. Außerdem soll es zu einer Datenpanne gekommen sein, bei der Daten aus „Unterhaltungen“ sowie Zahlungsinformationen betroffen waren. Die Behörde untersagte daraufhin die Nutzung des Chatbots in Italien.

Wir fassen den Status quo in Deutschland und die wichtigsten Fakten rund um ChatGPT und den Datenschutz zusammen.

Das Wichtigste zu ChatGPT in Kürze

• ChatGPT ist ein Sprachmodell, das mit Benutzereingaben und Web-Informationen trainiert wird, um bessere Antworten zu liefern.
• Der Anbieter OpenAI beschreibt in seinen Datenschutzrichtlinien, wie die verarbeiteten Daten geschützt und verwendet werden – die Sicherheit der Daten ist jedoch nicht garantiert.
• Die Technologie gilt für Datenschützer als Blackbox – solange die Verarbeitung und Verwendung eingegebener Daten unklar ist, sollte auf die Eingabe persönlicher Daten verzichtet werden.
• Aktuell unterliegt ChatGPT einer datenschutzrechtlichen Prüfung durch die deutschen Aufsichtsbehörden und es ist unklar, inwieweit der Einsatz mit Blick auf die DSGVO überhaupt zulässig ist.
• Unternehmen, die ChatGPT nutzen möchten, sollten den Einsatz mit ihrem Datenschutzbeauftragten klären.

Leitfaden für ChatGPT in Unternehmen

Sie möchten sich im ersten Schritt zunächst über die Nutzung des Chatbots informieren? Dann laden Sie unseren kostenlosen Leitfaden "ChatGPT im Unternehmen: Wie Sie den Chatbot auf keinen Fall nutzen sollten" herunter und erfahren Sie alles über den DSGVO-konformen Einsatz der KI.

Was ist ChatGPT?

ChatGPT steht für Chatbot Generative Pre-trained Transformer und ist eine sprachbasierte Anwendung. Das bedeutet, die Nutzer können über Texteingaben mit ChatGPT kommunizieren und Antworten auf ihre Fragen generieren lassen.

Der Chatbot basiert auf dem Deep-Learning-Prinzip, einem Teilgebiet des maschinellen Lernens. Vereinfacht gesagt steckt hinter ChatGPT ein künstliches neuronales Netz, das ähnlich wie das menschliche Gehirn funktioniert und lernen kann, Texte zu verstehen und bestimmte Entscheidungen zu treffen.

Mit jeder Unterhaltung lernt der Chatbot dazu und ist so in der Lage, menschenähnliche Antworten zu geben.

ChatGPT & Datenschutz: Was ist das Problem?

Um immer besser zu werden, greift ChatGPT auf Millionen Texte und Informationen zu, die frei im Internet verfügbar sind. Zusätzlich nutzt die KI die Benutzereingaben von mittlerweile mehr als 100 Millionen Privatpersonen und Unternehmen zum Trainieren.

Dabei ist nicht auszuschließen, dass auch persönliche und sensible Informationen verarbeitet werden – so wie in Italien, wo eine Datenpanne zur Preisgabe persönlicher Informationen in fremden Chats führte.

Warum hat Italien ChatGPT verboten?

Nachdem der Datenschutzverstoß in Italien aufgeflogen war, warf die Datenschutzbehörde des Landes dem Anbieter OpenAI unter anderem vor, gegen die Datenschutzgrundsätze der Zweckbindung und der Datenminimierung zu verstoßen, Daten ohne Rechtsgrundlage zu verarbeiten und die Rechte betroffener Personen nicht ausreichend sicherzustellen.
Damit das Verbot der Datenverarbeitung mittels ChatGPT in Italien wieder aufgehoben wird, verlangte die Aufsichtsbehörde von OpenAI eine Reihe von Maßnahmen. Der Anbieter musste:

• eine Datenschutzinformation veröffentlichen, die unter anderem die Logik der für den Betrieb von ChatGPT erforderlichen Datenverarbeitung beschreibt
• eine Alterskontrolle einführen
• eine klare Rechtsgrundlage schaffen, wobei aus Sicht der italienischen Behörde nur die Einwilligung der Nutzer oder ein berechtigtes Interesse in Betracht kommen
• Vorkehrungen treffen, um die Ausübung von Betroffenenrechten etwa auf Löschung von oder Auskunft über Daten zu ermöglichen – auch für Nicht-Nutzer
• bis zum 15. Mai in einer Informationskampagne über Radio, Fernsehen, Zeitungen und Internet die italienischen Bürger über die Datenverarbeitung für KI-Trainingszwecke aufklären

Seit dem 28.04.2023 ist ChatGPT in Italien wieder erlaubt. Laut örtlicher Aufsichtsbehörde stellte OpenAI gemäß der Datenschutzanforderungen den Dienst in Italien mit verbesserter Transparenz und verbesserten Rechten wieder her.

Wie beurteilen deutsche Datenschützer ChatGPT?

Einige Datenschützer in Deutschland teilen die Bedenken der italienischen Aufsichtsbehörde und fordern ähnliche Maßnahmen. Für eine Überprüfung benötigen die zuständigen Landesdatenschutzaufsichtsbehörden weitreichende Informationen.

Aufgrund ihrer Komplexität ist die datenschutzrechtliche Beurteilung von Künstlicher Intelligenz jedoch eine Herausforderung. So fehlen für eine Prüfung des Datenschutzes von ChatGPT

• Angaben über die Datenquellen
• Informationen über die Algorithmen hinter der automatisierten Datenverarbeitung und
• Klarheit darüber, ob Daten an Dritte mit kommerziellen Interessen weitergegeben werden.

2023 haben sich deutsche Datenschutzaufsichtsbehörden mit ChatGPT und dem Datenschutz beschäftigt. In seinem Tätigkeitsbericht für 2023 hat der niedersächsische Landesbeauftragte für den Datenschutz eine datenschutzrechtliche Bewertung für ChatGPT abgegeben und kommt unter anderem zu dem Ergebnis, dass Betroffenenrechte nur eingeschränkt umsetzbar sind.

Die wichtigsten Fakten zu ChatGPT und Datenschutz

Grundlage der datenschutzrechtlichen Prüfung ist die Datenschutzgrundverordnung (DSGVO). Werden personenbezogene Daten in ChatGPT verarbeitet, ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Die wichtigsten fasst die folgende Übersicht zusammen.

Einwilligung in die Datenverarbeitung

Die DSGVO erlaubt die Verarbeitung von Daten, wenn eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt. Die Datenverarbeitung muss zum Beispiel zur Erfüllung vertraglicher Pflichten notwendig sein oder auf einem berechtigten Interesse des Betreibers basieren. Dabei dürfen die Schutzinteressen betroffener Personen nicht verletzt werden.

Ohne eine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO, darf die Verarbeitung nur mit Einwilligung der betroffenen Person geschehen. Dafür ist eine transparente Information der betroffenen Person über die Datenverarbeitung und ihre Auswirkungen erforderlich.

Da eine KI wie ChatGPT hinsichtlich Datenschutz als Blackbox gilt, können Unternehmen in der Regel keine detaillierte Auskunft über die Datenverarbeitung geben. Eine wirksame Einwilligung ist deshalb nahezu unmöglich.

Transparenz über die Verarbeitung der Daten

Die DSGVO gibt vor, dass Daten einer betroffenen Person in einer für sie nachvollziehbaren Weise verarbeitet werden. Auch dieser Vorgabe steht die Intransparenz zum Datenschutz des ChatGPT-Algorithmus‘ entgegen.

Unternehmen müssen außerdem ihren Informationspflichten aus Art. 13 und 14 DSGVO nachkommen. Gemäß Art. 12 Abs. 1 DSGVO müssen sie die betroffene Person in verständlicher und leicht zugänglicher Weise über die Datenverarbeitung und die Funktionsweise der eingesetzten KI informieren. Dazu gehören auch Informationen über den Umfang der Datenverarbeitungen, die Rechtsgrundlage und die Empfänger.

Schutz der Rechte betroffener Personen

Betroffene Personen müssen über ihre datenschutzrechtlichen Rechte aufgeklärt werden. Auch bei der Nutzung von ChatGPT müssen Unternehmen laut Datenschutzgrundversorgung die Rechte betroffener Personen erfüllen und verarbeitete Daten z. B. auf Anfrage löschen können. Das ist allerdings problematisch, da die Daten nach Eingabe in der Algorithmus-Blackbox verschwinden.

Datenschutzrechtliche Rolle von OpenAI

Gewerbliche ChatGPT-Nutzer können den Chatbot in ihre internen Prozesse einbinden. Sie sind damit datenschutzrechtlich für die Datenverarbeitung verantwortlich. Da OpenAI in dieser Konstellation Zugriff auf die Daten des Unternehmens hat, kommt prinzipiell der Abschluss eines Auftragsverarbeitungsvertrags (AVV) in Betracht.

Doch ein solcher AVV erscheint nicht ganz passend: OpenAI nutzt die Daten intern zu eigenen Trainingszwecken für ChatGPT. Hinsichtlich Datenschutz ergibt sich daraus vermutlich eine gemeinsame Verantwortlichkeit (Joint Controllership) zwischen ChatGPT und dem Unternehmen, das den Chatbot ChatGPT nutzt und damit die Notwendigkeit eines Vertrags zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Datenübermittlung in ein Drittland

Der Chatbot ist ein Angebot des US-amerikanischen Unternehmens Open-AI. ChatGPT ist damit wie die Anwendungen von Google oder Microsoft ein Tool, bei dem personenbezogene Daten an Server in einem Drittland außerhalb der EU übertragen werden.

Laut Art. 44 ff. DSGVO muss in diesen Fällen ein angemessenes Schutzniveau sichergestellt werden. Da es aktuell ein Datenschutzabkommen zwischen der USA und der EU gibt, ist die Übermittlung personenbezogener Daten in die USA nur zulässig, wenn strenge Anforderungen für den Schutz der Daten eingehalten werden. Unternehmen, die ChatGPT nutzen, sollten die Datenschutzrichtlinien vorab prüfen.

Wie können Unternehmen ChatGPT möglichst sicher nutzen?

Eine sichere Möglichkeit, ChatGPT gemäß Datenschutzrichtlinien zu nutzen und somit DSGVO-konform zu bleiben, gibt es aktuell nicht. Nutzer der KI können jedoch Vorsichtsmaßnahmen treffen, um das Risiko einer Datenpanne so weit wie möglich zu reduzieren.

Mit Newsletter und Downloads up-to-date bleiben

Unternehmen, die über den Einsatz von ChatGPT nachdenken oder bereits erste Schritte mit dem Tool machen, sollten sich aktiv über die weiteren Entwicklungen und die Prüfung durch die Behörden informieren. Über die Diskussion rund um ChatGPT-Datenschutz informiert Sie regelmäßig unser Newsletter.

Außerdem bieten wir Ihnen Leitfäden und Checklisten für Hintergrundwissen rund um Künstliche Intelligenz und den möglichst sicheren Einsatz von KI-Tools wie ChatGPT.

Zu den Downloads/p>

Ausblick für ChatGPT in Europa: Verbot oder Ansporn?

Noch herrscht in Bezug auf ChatGPT viel Unklarheit beim Datenschutz. Schulen, Universitäten und Privatpersonen nutzen den Chatbot dennoch fleißig weiter. Das gilt auch für Unternehmen.

Laut dem Digitalverband bitkom plant außerdem jedes sechste Unternehmen, ChatGPT einzusetzen, weitere 23 Prozent können sich ChatGPT als Teil ihres Teams vorstellen. Für den Verbandspräsidenten Achim Berg geht die Verbotsdiskussion in die falsche Richtung. Er fordert ein praxistaugliches Regelwerk für die Anwendung von KI in Europa.

An einem solchen Regelwerk arbeitet die EU aktuell auf Hochtouren. Eine europäische KI-Verordnung wird noch in diesem Jahr erwartet und soll die Vorschriften für KI-Systeme in den Mitgliedsstaaten der EU in Einklang bringen. Die Richtlinie sieht vor, KI-Anwendungen in vier Risiko-Kategorien einzuteilen. Je höher die Risikostufe, desto strenger die Regelungen – es ist davon auszugehen, dass der Datenschutz bei ChatGPT unter eine der höheren Risikokategorien fallen würde.

Wäre ein Verbot ein Fehler? Zumindest würden weitere Restriktionen Europa im KI-Wettbewerb noch weiter zurückwerfen. Denn eine europäische Antwort auf ChatGPT blieb bisher aus. Immerhin ist Europa stark in der Forschung. So treibt die europäische Initiative LEAM  das Thema aktuell voran. Die Forschenden setzen sich für ein Ökosystem ein, das zum einen datenschutzrechtliche Sicherheit schaffen und zum anderen dafür sorgen soll, dass Europa gegenüber den USA und China wettbewerbsfähig bleibt.

FAQ zur ChatGPT

Wem gehört ChatGPT?

ChatGPT ist der Chatbot des ehemaligen Forschungsunternehmens OpenAI LP, das mittlerweile gewinnorientiert arbeitet und von der Non-Profit-Organisation OpenAI Inc. kontrolliert wird. Finanziert wurde das Unternehmen unter anderem von Microsoft und Elon Musk. Inzwischen distanziert sich Musk von OpenAI. Zu den Unterstützern gehören unter anderem Amazon Web Services, Infosys Technologies und Mitbegründer von LinkedIn undPayPal.

Ist ChatGPT sicher?

ChatGPT hat für die Nutzer viele Vorteile, allerdings lässt sich mit dem Chatbot auch Schaden anrichten. Kriminelle können das Tool zum Beispiel nutzen, um ihre Phishing-Angriffe zu verbessern. Zudem herrscht große Unsicherheit in Bezug auf den Datenschutz von ChatGPT. Solange kein Rechtsrahmen existiert und der Algorithmus hinter dem Chatbot eine Blackbox ist, sollten private Nutzer und Unternehmen die Anwendung mit größter Vorsicht verwenden.