ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?

ChatGPT weckt weltweit die Neugierde auf Künstliche Intelligenz. Mehr als 100 Millionen Nutzer haben bereits mit dem Chatbot gesprochen. Doch mit dem Hype wächst auch die Sorge von Datenschützern. Wie sicher ist der Chatbot und müssen Unternehmen darauf verzichten?

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?

Die Aufsichtsbehörden in Deutschland gehen aktuell datenschutzrechtlichen Fragen in Bezug auf ChatGPT nach. Auslöser war eine Entscheidung der italienischen Datenschutzbehörde GPDP. Die Datenschutzbehörde stellte fest, dass für die Sammlung von Nutzerdaten aus „Unterhaltungen“ mit dem Chatbot keine Rechtsgrundlage vorliegt, die Nutzer nicht hinreichend über die Verarbeitung ihrer Daten informiert werden und kein ausreichender Schutz bei der Verarbeitung von Daten Jugendlicher sichergestellt ist. Außerdem soll es zu einer Datenpanne gekommen sein, bei der Daten aus „Unterhaltungen“ sowie Zahlungsinformationen betroffen waren. Die Behörde untersagte daraufhin die Nutzung des Chatbots in Italien.

Wir fassen den Status quo in Deutschland und die wichtigsten Fakten rund um ChatGPT und den Datenschutz zusammen.

Unsicher, ob Sie ChatGPT datenschutzkonform nutzen?

Mehr als 80 Datenschutzexperten sind für Sie da und beraten Sie umfassend zu den Stolperfallen und dem richtigen Einsatz des Chatbots. Lassen Sie sich unverbindlich beraten.

Jetzt Termin vereinbaren

Das Wichtigste zu ChatGPT in Kürze

  • ChatGPT ist ein Sprachmodell, das mit Benutzereingaben und Web-Informationen trainiert wird, um bessere Antworten zu liefern.
  • Der Anbieter OpenAI beschreibt in seinen Datenschutzrichtlinien, wie die verarbeiteten Daten geschützt und verwendet werden – die Sicherheit der Daten ist jedoch nicht garantiert.
  • Die Technologie gilt für Datenschützer als Blackbox – solange die Verarbeitung und Verwendung eingegebener Daten unklar ist, sollte auf die Eingabe persönlicher Daten verzichtet werden.
  • Aktuell unterliegt ChatGPT einer datenschutzrechtlichen Prüfung durch die deutschen Aufsichtsbehörden und es ist unklar, inwieweit der Einsatz mit Blick auf die DSGVO überhaupt zulässig ist.
  • Unternehmen, die ChatGPT nutzen möchten, sollten den Einsatz mit ihrem Datenschutzbeauftragten klären.

Leitfaden für ChatGPT in Unternehmen

Sie möchten sich im ersten Schritt zunächst über die Nutzung des Chatbots informieren? Dann laden Sie unseren kostenlosen Leitfaden "ChatGPT im Unternehmen: Wie Sie den Chatbot auf keinen Fall nutzen sollten" herunter und erfahren Sie alles über den DSGVO-konformen Einsatz der KI.

Gratis ChatGPT Leitfaden herunterladen

Was ist ChatGPT?

ChatGPT steht für Chatbot Generative Pre-trained Transformer und ist eine sprachbasierte Anwendung. Das bedeutet, die Nutzer können über Texteingaben mit ChatGPT kommunizieren und Antworten auf ihre Fragen generieren lassen.

Der Chatbot basiert auf dem Deep-Learning-Prinzip, einem Teilgebiet des maschinellen Lernens. Vereinfacht gesagt steckt hinter ChatGPT ein künstliches neuronales Netz, das ähnlich wie das menschliche Gehirn funktioniert und lernen kann, Texte zu verstehen und bestimmte Entscheidungen zu treffen.

Mit jeder Unterhaltung lernt der Chatbot dazu und ist so in der Lage, menschenähnliche Antworten zu geben

Chat GPT & Datenschutz: Was ist das Problem?

Um immer besser zu werden, greift ChatGPT auf Millionen Texte und Informationen zu, die frei im Internet verfügbar sind. Zusätzlich nutzt die KI die Benutzereingaben von mittlerweile mehr als 100 Millionen Privatpersonen und Unternehmen zum Trainieren.

Dabei ist nicht auszuschließen, dass auch persönliche und sensible Informationen verarbeitet werden – so wie in Italien, wo eine Datenpanne zur Preisgabe persönlicher Informationen in fremden Chats führte.

Warum hat Italien ChatGPT verboten?

Nachdem der Datenschutzverstoß in Italien aufgeflogen war, warf die Datenschutzbehörde des Landes dem Anbieter OpenAI unter anderem vor, gegen die Datenschutzgrundsätze der Zweckbindung und der Datenminimierung zu verstoßen, Daten ohne Rechtsgrundlage zu verarbeiten und die Rechte betroffener Personen nicht ausreichend sicherzustellen.
Damit das Verbot der Datenverarbeitung mittels ChatGPT in Italien wieder aufgehoben wird, verlangt die Aufsichtsbehörde von OpenAI eine Reihe von Maßnahmen. Der Anbieter muss bis zum 30.04.2023:

  • eine Datenschutzinformation veröffentlichen, die unter anderem die Logik der für den Betrieb von ChatGPT erforderlichen Datenverarbeitung beschreibt
  • eine Alterskontrolle einführen
  • eine klare Rechtsgrundlage schaffen, wobei aus Sicht der italienischen Behörde nur die Einwilligung der Nutzer oder ein berechtigtes Interesse in Betracht kommen
  • Vorkehrungen treffen, um die Ausübung von Betroffenenrechten etwa auf Löschung von oder Auskunft über Daten zu ermöglichen – auch für Nicht-Nutzer
  • bis zum 15. Mai in einer Informationskampagne über Radio, Fernsehen, Zeitungen und Internet die italienischen Bürger über die Datenverarbeitung für KI-Trainingszwecke aufklären

Wie beurteilen deutsche Datenschützer ChatGPT?

Einige Datenschützer in Deutschland teilen die Bedenken der italienischen Aufsichtsbehörde und fordern ähnliche Maßnahmen. Für eine Überprüfung benötigen die zuständigen Landesdatenschutzaufsichtsbehörden weitreichende Informationen.

Aufgrund ihrer Komplexität ist die datenschutzrechtliche Beurteilung von Künstlicher Intelligenz  jedoch eine Herausforderung. So fehlen für eine Prüfung

  • Angaben über die Datenquellen
  • Informationen über die Algorithmen hinter der automatisierten Datenverarbeitung und
  • Klarheit darüber, ob Daten an Dritte mit kommerziellen Interessen weitergegeben werden.

Stand April 2023 beschäftigt sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mit ChatGPT und dem Datenschutz. Geplant ist eine datenschutzrechtliche Prüfung, die in der Datenschutzkonferenz koordiniert wird.

Die wichtigsten Fakten zu ChatGPT und Datenschutz

Grundlage der datenschutzrechtlichen Prüfung ist die Datenschutzgrundverordnung (DSGVO). Werden personenbezogene Daten in ChatGPT verarbeitet, ergeben sich verschiedene datenschutzrechtliche Herausforderungen. Die wichtigsten fasst die folgende Übersicht zusammen.

Einwilligung in die Datenverarbeitung

Die DSGVO erlaubt die Verarbeitung von Daten, wenn eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO vorliegt. Die Datenverarbeitung muss zum Beispiel zur Erfüllung vertraglicher Pflichten notwendig sein oder auf einem berechtigten Interesse des Betreibers basieren. Dabei dürfen die Schutzinteressen betroffener Personen nicht verletzt werden.

Ohne eine andere Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO, darf die Verarbeitung nur mit Einwilligung der betroffenen Person geschehen. Dafür ist eine transparente Information der betroffenen Person über die Datenverarbeitung und ihre Auswirkungen erforderlich.

Da eine KI wie ChatGPT als Blackbox gilt, können Unternehmen in der Regel keine detaillierte Auskunft über die Datenverarbeitung geben. Eine wirksame Einwilligung ist deshalb nahezu unmöglich.

Transparenz über die Verarbeitung der Daten

Die DSGVO gibt vor, dass Daten einer betroffenen Person in einer für sie nachvollziehbaren Weise verarbeitet werden. Auch dieser Vorgabe steht die Intransparenz des ChatGPT-Algorithmus‘ entgegen.

Unternehmen müssen außerdem ihren Informationspflichten aus Art. 13 und 14 DSGVO nachkommen. Gemäß Art. 12 Abs. 1 DSGVO müssen sie die betroffene Person in verständlicher und leicht zugänglicher Weise über die Datenverarbeitung und die Funktionsweise der eingesetzten KI informieren. Dazu gehören auch Informationen über den Umfang der Datenverarbeitungen, die Rechtsgrundlage und die Empfänger.

Schutz der Rechte betroffener Personen

Betroffene Personen müssen über ihre datenschutzrechtlichen Rechte aufgeklärt werden. Auch bei der Nutzung von ChatGPT müssen Unternehmen laut DSGVO die Rechte betroffener Personen erfüllen und verarbeitete Daten z. B. auf Anfrage löschen können. Das ist allerdings problematisch, da die Daten nach Eingabe in der Algorithmus-Blackbox verschwinden.

Datenschutzrechtliche Rolle von OpenAI

Gewerbliche ChatGPT-Nutzer können den Chatbot in ihre internen Prozesse einbinden. Sie sind damit datenschutzrechtlich für die Datenverarbeitung verantwortlich. Da OpenAI in dieser Konstellation Zugriff auf die Daten des Unternehmens hat, kommt prinzipiell der Abschluss eines Auftragsverarbeitungsvertrags (AVV) in Betracht.

Doch ein solcher AVV erscheint nicht ganz passend: OpenAI nutzt die Daten intern zu eigenen Trainingszwecken für ChatGPT, woraus sich vermutlich eine gemeinsame Verantwortlichkeit (Joint Controllership) zwischen ChatGPT und dem Unternehmen, das ChatGPT nutzt, ergibt und damit die Notwendigkeit eines Vertrags zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO.

Datenübermittlung in ein Drittland

Der Chatbot ist ein Angebot des US-amerikanischen Unternehmens Open-AI. ChatGPT ist damit wie die Anwendungen von Google oder Microsoft ein Tool, bei dem personenbezogene Daten an Server in einem Drittland außerhalb der EU übertragen werden.

Laut Art. 44 ff. DSGVO muss in diesen Fällen ein angemessenes Schutzniveau sichergestellt werden. Da es aktuell kein Datenschutzabkommen zwischen der USA und der EU gibt, ist die Übermittlung personenbezogener Daten in die USA nur zulässig, wenn strenge Anforderungen für den Schutz der Daten eingehalten werden, die vorab von Unternehmen, die ChatGPT nutzen, geprüft werden müssen.

Wie können Unternehmen ChatGPT sicher nutzen?

Eine sichere Möglichkeit, ChatGPT zu nutzen und gleichzeitig DSGVO-konform zu bleiben, gibt es aktuell nicht. Nutzer der KI können jedoch Vorsichtsmaßnahmen treffen, um das Risiko einer Datenpanne so weit wie möglich zu reduzieren.

Newsletter abonnieren und Up-To-Date bleiben

Unternehmen, die über den Einsatz von ChatGPT nachdenken oder bereits erste Schritte mit dem Tool machen, sollten sich aktiv über die weiteren Entwicklungen und die Prüfung durch die Behörden informieren. Über die Diskussion rund um ChatGPT-Datenschutz informiert Sie regelmäßig unser Newsletter.

Jetzt abonnieren

Ausblick für ChatGPT in Europa: Verbot oder Ansporn?

Noch herrscht in Bezug auf ChatGPT viel Unklarheit beim Datenschutz. Schulen, Universitäten und Privatpersonen nutzen den Chatbot dennoch fleißig weiter. Das gilt auch für Unternehmen.

Laut dem Digitalverband bitkom plant außerdem jedes sechste Unterhmenen, ChatGPT einzusetzen, weitere 23 Prozent können sich ChatGPT als Teil ihres Teams vorstellen. Für den Verbandspräsidenten Achim Berg geht die Verbotsdiskussion in die falsche Richtung. Er fordert ein praxistaugliches Regelwerk für die Anwendung von KI in Europa.

An einem solchen Regelwerk arbeitet die EU aktuell auf Hochtouren. Eine europäische KI-Verordnung wird noch in diesem Jahr erwartet und soll die Vorschriften für KI-Systeme in den Mitgliedsstaaten der EU in Einklang bringen. Die Richtlinie sieht vor, KI-Anwendungen in vier Risiko-Kategorien einzuteilen. Je höher die Risikostufe, desto strenger die Regelungen – es ist davon auszugehen, dass ChatGPT unter eine der höheren Risikokategorien fallen würde.

Wäre ein Verbot ein Fehler? Zumindest würden weitere Restriktionen Europa im KI-Wettbewerb noch weiter zurückwerfen. Denn eine europäische Antwort auf ChatGPT blieb bisher aus. Immerhin ist Europa stark in der Forschung. So treibt die europäische Initiative LEAM  das Thema aktuell voran. Die Forschenden setzen sich für ein Ökosystem ein, das zum einen datenschutzrechtliche Sicherheit schaffen und zum anderen dafür sorgen soll, dass Europa gegenüber den USA und China wettbewerbsfähig bleibt.

FAQ zur ChatGPT

Wem gehört ChatGPT?

ChatGPT ist der Chatbot des ehemaligen Forschungsunternehmens OpenAI LP, das mittlerweile gewinnorientiert arbeitet und von der Non-Profit-Organisation OpenAI Inc. kontrolliert wird. Finanziert wurde das Unternehmen unter anderem von Microsoft und Elon Musk. Inzwischen distanziert sich Musk von OpenAI. Zu den Unterstützern gehören unter anderem Amazon Web Services, Infosys Technologies und Mitbegründer von LinkedIn undPayPal.

Ist ChatGPT sicher?

ChatGPT hat für die Nutzer viele Vorteile, allerdings lässt sich mit dem Chatbot auch Schaden anrichten. Kriminelle können das Tool zum Beispiel nutzen, um ihre Phishing-Angriffe zu verbessern. Zudem herrscht große Unsicherheit in Bezug auf den Datenschutz. Solange kein Rechtsrahmen existiert und der Algorithmus hinter ChatGPT eine Blackbox ist, sollten private Nutzer und Unternehmen die Anwendung mit größter Vorsicht verwenden.
 

Weitere Beiträge zu diesem Thema

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr