ChatGPT und der Datenschutz – Teil 2

Aufhebung der Sperre von ChatGPT in Italien

Ende März 2023 hatte die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) die Nutzung von ChatGPT in Italien wegen Verstößen gegen Datenschutz- und Jugendschutzregeln vorübergehend verboten. Diese Sperre wurde Ende April 2023 bereits wieder aufgehoben, nachdem OpenAI, der Anbieter und Entwickler von ChatGPT, einige Maßnahmen ergriffen hatte, um die Bedenken der italienischen Datenschutzbehörde auszuräumen. So gab OpenAI bekannt, dass für italienische Nutzer vor der Verwendung von ChatGPT nunmehr eine Altersprüfung vorgeschaltet sei. Darüber hinaus sei es EU-Nutzern jetzt möglich, Widerspruch gegen die Verwendung ihrer Daten durch ChatGPT einzulegen. Trotz der Aufhebung der Sperre kündigte die italienische Datenschutzbehörde jedoch an, die Prüfung von OpenAI fortzusetzen.

Möglicher Rückzug von OpenAI aus Europa wegen des AI Acts

Fast zeitgleich mit der Entsperrung von ChatGPT in Italien Ende April 2023 einigten sich die Abgeordneten des EU-Parlaments über einen Entwurf über die Regulierung von Künstlichen Intelligenzen. Der Artificial Intelligence Act (nachfolgend „AI Act“) zielt darauf ab, einen rechtlichen Rahmen für die Entwicklung und den Einsatz von Künstlicher Intelligenz in der EU zu schaffen. Er enthält unter anderem folgende Bestimmungen:

  • die Einstufung von Künstlicher Intelligenz nach ihrem Risikoniveau – von „minimal“ über „gering“ und „hoch“ bis hin zu „inakzeptabel“;
  • die Festlegung von Anforderungen an KI-Systeme mit hohem Risiko, wie z.B. in Bezug auf Qualität, Sicherheit, Transparenz, menschliche Aufsicht und Grundrechte;
  • bei generativer (also „kreativer“) KI die Verpflichtung zur Offenlegung, ob bei der Entwicklung urheberrechtlich geschütztes Material verwendet wurde;
  • die Einführung von Sanktionen für Verstöße gegen den AI Act.

Der Entwurf zum AI Act ist auf unterschiedliche Reaktionen gestoßen. Bei vielen Akteuren im Bereich der Künstlichen Intelligenz hat er Besorgnis ausgelöst. Teilweise wird befürchtet, dass er zu einer Überregulierung führen und die Innovation bremsen könnte. Andere kritisieren ihn hingegen als zu vage oder unzureichend, um die ethischen und sozialen Herausforderungen der Künstlichen Intelligenz anzugehen.

Zu den kritischen Betrachtern des AI Acts zählt auch OpenAI. So bezeichnete Sam Altman, Mitbegründer und Chef von OpenAI, den derzeitigen Entwurf des AI Acts als „Überregulierung“. OpenAI werde zwar zunächst versuchen, die europäischen Vorgaben einzuhalten, sobald sie ausgearbeitet seien. Sollte dies jedoch nicht möglich sein, werde OpenAI sich aus Europa zurückziehen müssen. 

Mit der Verabschiedung des AI Acts ist frühestens Ende des Jahres zu rechnen, mit dem Inkrafttreten frühestens Mitte 2024. Bis dahin bleibt abzuwarten, wie der AI Act final aussehen wird und wie sich ChatGPT und andere Künstliche Intelligenzen in den nächsten Monaten entwickeln werden.

Situation in Deutschland

Auch in Deutschland wurden die Diskussionen um ChatGPT zuletzt fortgeführt. Am 19. April veröffentlichte der Hessische Datenschutzbeauftragte Prof. Alexander Roßnagel einen Fragenkatalog zur Datenverarbeitung bei ChatGPT. Die Fragen sind insbesondere auf die Einhaltung der datenschutzrechtlichen Grundprinzipien gerichtet (etwa Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz etc.) sowie auf die Rechtsgrundlage und die Zwecke der Verarbeitung. Außerdem wird gefragt, welche Altersgrenze für die Nutzung von ChatGPT vorgesehen sei und ob für alle Nutzer unter 16 Jahren die Einwilligung der Erziehungsberechtigten eingeholt wird. Weiterhin wird gefragt, ob Nutzungsdaten als Trainingsdaten im Rahmen des maschinellen Lernens verwendet werden und welche Quellen für Auskünfte über Personen genutzt werden.

Bislang hat OpenAI den Fragenkatalog nicht beantwortet. Roßnagel kündigte an, sich mit den anderen Aufsichtsbehörden in Deutschland und Europa abzustimmen, sobald die Antworten von OpenAI vorliegen würden.

Lassen sich die Datenschutzrisiken bei der Nutzung von ChatGPT einschränken?

Zwar gibt es bei der Verwendung von ChatGPT nach wie vor viele offene Fragen. Doch schon jetzt ist es möglich, die datenschutzrechtlichen Risiken zumindest zu verringern. 

Die offensichtliche Lösung ist der Verzicht auf die Angabe von personenbezogenen Daten im Rahmen der Nutzung von ChatGPT. Auf diese Weise lässt es sich zuverlässig vermeiden, dass – insbesondere sensible – Informationen von ChatGPT verarbeitet und durch Datenpannen veröffentlicht werden. Allerdings ist selbst auf diese Weise nicht sichergestellt, dass OpenAI bei der Nutzung nicht etwa die IP-Adresse der Nutzer verarbeitet, um zu ermitteln, in welcher Region sich der Nutzer aufhält, und dadurch erkennen zu können, ob gegebenenfalls besondere Pflichten eingehalten werden müssen (wie etwa die Altersüberprüfung, die inzwischen bei italienischen Nutzern vorgenommen werden soll).

Eine weitere Möglichkeit, ChatGPT mit einem erhöhten Datenschutzniveau zu nutzen, ist die Buchung über MS Azure und die damit verbundene Nutzung des EU-Datenzentrums von Microsoft. MS Azure ist eine Cloud-Computing-Plattform, die verschiedene Dienste anbietet, darunter auch ChatGPT. Durch die Buchung über MS Azure können Nutzer wählen, in welchem geografischen Gebiet ihre Daten gespeichert werden. Für europäische Nutzer bietet MS Azure ein Datenzentrum in der EU an, das laut Microsoft den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht. Für die Nutzung eines europäischen Datenzentrums verspricht Microsoft unter anderem, dass die Daten nicht außerhalb der EU gespeichert oder auf sonstige Weise verarbeitet werden. Ob es aber nicht doch im Einzelfall zu Übertragungen etwa in die USA oder an Dritte kommen kann, lässt sich nicht mit Sicherheit sagen. Zudem erfordert die Buchung über MS Azure eine zusätzliche Gebühr und einen zusätzlichen Aufwand für die Nutzer. Außerdem ist MS Azure nicht für alle Anwendungsfälle geeignet.

Im Rahmen der Premium-Nutzung von ChatGPT soll es zudem möglich sein, weitere Datenschutzeinstellungen und sonstige Personalisierungen vorzunehmen. Premium-Kunden sollten die Einstellungsmöglichkeiten daher genau nach entsprechenden Optionen durchsuchen. 

Auch bei diesen Möglichkeiten gibt es aber immer noch Bedenken darüber, wie ChatGPT mit personenbezogenen Daten umgeht. Insbesondere bleibt offen, ob und wann ChatGPT Daten in unsichere Drittländer übermittelt, sie an Dritte weitergibt oder ob Nutzer die Kontrolle über ihre Daten behalten können.

Nutzung von ChatGPT im Unternehmen

Viele Unternehmen fragen sich, ob sie ChatGPT künftig auch in ihrem Unternehmen einsetzen. So kann ChatGPT an Online-Meetings teilnehmen und automatisch ein Protokoll erstellen, das die wichtigsten Punkte und Aktionen zusammenfasst. ChatGPT kann des Weiteren als virtueller Assistent eingesetzt werden und Kundenanfragen beantworten oder Probleme lösen. Zudem kann ChatGPT Texte für verschiedenste Zwecke generieren oder verbessern, wie etwa Blogbeiträge, Newsletter oder Posts in sozialen Netzwerken. Schließlich lässt sich die KI auch als Wissensspeicher verwenden, um Mitarbeiter bei der Suche nach Informationen zu unterstützen. 

Den praktischen Anwendungsmöglichkeiten von ChatGPT und vergleichbaren Tools im unternehmerischen Kontext sind kaum Grenzen gesetzt. Allerdings sind damit stets auch Herausforderungen verbunden. So muss das Tool zunächst in die bestehenden Systeme und Prozesse integriert werden. Außerdem kann es schwerfallen, die Qualität und Zuverlässigkeit von ChatGPT-Antworten sicherzustellen. Aus diesem Grund müssen Mitarbeiter für den Umgang mit KI geschult und sensibilisiert werden. 

Neben diesen tatsächlichen Herausforderungen ist die Nutzung von KI im Unternehmen auch mit nicht unerheblichen rechtlichen Hürden verbunden. Soll ChatGPT beispielsweise als Protokollführer in Online-Meetings herhalten, ist es unumgänglich, dass dabei personenbezogene Daten der Mitarbeiter und gegebenenfalls auch von Kunden und anderen außenstehenden Personen verarbeitet werden. Daher ist insbesondere die Einhaltung der datenschutzrechtlichen Anforderungen von elementarer Wichtigkeit.

Checkliste für die Nutzung von ChatGPT im Unternehmen

Damit Unternehmen ChatGPT nutzen können, sind in jedem Fall mindestens die folgenden datenschutzrechtlichen Anforderungen einzuhalten:

  • Gemäß Art. 5 DSGVO muss die Verarbeitung von personenbezogenen Daten rechtmäßig sein. Das ist sie insbesondere dann, wenn eine der Bedingungen aus Art. 6 Abs. 1 DSGVO erfüllt ist, wie etwa die Einwilligung der betroffenen Person, die Erforderlichkeit zur Erfüllung eines Vertrags mit der betroffenen Person oder die Erforderlichkeit zur Wahrung der berechtigten Interessen des Unternehmens ohne überwiegende Interessen der betroffenen Person. Für Beschäftigte kommt darüber hinaus die Rechtsgrundlage aus § 26 BDSG in Betracht, soweit die Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies beispielsweise für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.
  • Da OpenAI als Auftragsverarbeiter für das ChatGPT nutzende Unternehmen tätig wird, muss gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag mit OpenAI abgeschlossen werden. In diesem Zusammenhang hat das jeweilige Unternehmen insbesondere sicherzustellen, dass OpenAI hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die personenbezogenen Daten DSGVO-konform verarbeitet werden und der Schutz der betroffenen Person gewährleistet ist.
  • Da bei der Nutzung von ChatGPT stets die Gefahr der Übertragung in die USA oder andere unsichere Drittländer besteht, müssen Unternehmen in diesen Fällen gemäß Art. 46 Abs. 2 lit c DSGVO die Standardvertragsklauseln der EU mit OpenAI abschließen. Dabei ist das richtige Modul auszuwählen und zu individualisieren (etwa in Bezug auf optionale oder alternative Klauseln).
  • Die Standardvertragsklauseln erfordern in Klausel 14 eine Beurteilung der Sicherheit der Datenübermittlung, die ausdrücklich zu dokumentieren ist, um sie auf Nachfrage der zuständigen Aufsichtsbehörde vorlegen zu können. Diese Beurteilung ist im Wege eines sogenannten TIA (Transfer Impact Assessment, zu Deutsch etwa „Übermittlungsfolgeabschätzung“) durchzuführen.
  • Betroffene Personen sind gegebenenfalls gemäß Art. 13 Abs. 1 lit. e DSGVO darüber zu informieren, dass OpenAI ihre personenbezogenen Daten erhält, soweit dies bei der Erhebung der Daten bereits absehbar ist.

Fazit

Die Diskussion um die Vereinbarkeit der Nutzung von ChatGPT mit datenschutzrechtlichen Anforderungen geht weiter. 

Die zahlreichen Anwendungsmöglichkeiten für die Nutzung von ChatGPT und ähnlichen Tools im unternehmerischen Kontext sind mit tatsächlichen und rechtlichen Herausforderungen verbunden, die es zu lösen gilt. Insbesondere in datenschutzrechtlicher Hinsicht ist nicht klar, ob im Rahmen des Auftragsverarbeitungsvertrags von hinreichenden Garantien für geeignete technische und organisatorische Maßnahmen durch OpenAI ausgegangen werden kann, die eine DSGVO-konforme Datenverarbeitung versprechen. Unklar ist auch, ob innerhalb eines TIA im Ergebnis zu einem ausreichenden Schutzniveau gelangt werden kann. 

Spannend wird in der nahen Zukunft sein, ob und wie OpenAI sich zu dem Fragenkatalog des Hessischen Landesdatenschutzbeauftragten äußert, der viele der hier aufgeworfenen Fragen thematisiert. Es bleibt abzuwarten, ob einige der datenschutzrechtlichen Fragen durch die Antwort von OpenAI geklärt werden können.

Wenn Sie Fragen zu ChatGPT, KI im Allgemeinen oder datenschutzrechtlichen Themen haben, unterstützen wir Sie gerne.

Ähnliche Beiträge

17. April 2023

Lässt sich ChatGPT datenschutzkonform anwenden?

Der Chatbot ChatGPT des US-amerikanischen Unternehmens OpenAI erfreut sich seit seiner Veröffentlichung im November 2022 großer Beliebtheit. Mit dem Programm können dialogische „Unterhaltungen“ geführt und Aufgaben gelöst werden. Die Antworten von ChatGPT stehen den Antworten eines menschlichen Gesprächspartners inhaltlich und grammatikalisch manchmal in nichts nach, der Anwendungsbereich ist beeindruckend. Und doch gerät die Künstliche Intelligenz immer wieder in die Kritik.
Datenschutz
EU-DSGVO
IT-Recht
Zurück

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Joshua Kniesburges

Rechtsanwalt

Zum Profil von Joshua Kniesburges

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

Datenschutz EU-DSGVO

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink