Datenschutz Verstehen – ChatGPT und Datenschutz
Kurze Einleitung
Bittet man ChatGPT darum, eine Einleitung für einen Blogbeitrag über ChatGPT im datenschutzrechtlichen Kontext zu schreiben, dann bekommt man folgende Antwort:
“Im Zuge der Digitalisierung und des wachsenden Bedarfs an automatisierten und personalisierten Dienstleistungen gewinnt der Einsatz von KI-basierten Chat-Systemen immer mehr an Bedeutung. ChatGPT, eine KI-Technologie von OpenAI, ist ein vielversprechendes Beispiel für die Generierung von menschenähnlichen Antworten auf Texteingaben. Doch neben den zahlreichen Vorteilen, die ChatGPT für Unternehmen und Nutzer bietet, gibt es auch datenschutzrechtliche Herausforderungen, die bei der Verwendung von KI-basierten Chat-Systemen berücksichtigt werden müssen. In diesem Blogbeitrag werden wir uns näher mit ChatGPT im datenschutzrechtlichen Kontext beschäftigen und die wichtigsten Aspekte für Unternehmen und Nutzer diskutieren.“
Dies ist nur eins von vielen Beispielen, durch das deutlich wird, wie sich künstliche Intelligenz (KI) entwickelt hat. Durch diese Entwicklungen wird es immer schwieriger, menschengemachte Texte von computergenerierten zu unterscheiden. Auch datenschutzrechtlich ergeben sich in diesem Kontext neue Herausforderungen. Dieser Beitrag beantwortet die Fragen, was mit den Eingaben bei ChatGPT passiert und was beachtet werden sollte, um ChatGPT sicher und datenschutzkonform zu nutzen.
Was ist ChatGPT?
ChatGPT gehört zu dem US-Unternehmen Open AI, das 2015 von einer Gruppe von Technologie-Unternehmern gegründet wurde. Zu den Gründern gehören unter anderem Elon Musk und Sam Altman. Darüber hinaus hat ChatGPT mehrere Investoren und Partner, beispielsweise Microsoft.
Die neueste Version des Chatbots – ChatGPT-4 – kann noch mehr als die Vorgängerversion. So kann sie mit deutlich längeren Texten, die bis zu 25.000 Wörter umfassen, umgehen und umgekehrt auch genauso lange Texte selbst generieren. Zudem kann die neue KI jetzt auch Bilder erkennen und diese beschreiben. Eine weitere Besonderheit besteht darin, dass die neueste Version von ChatGPT auch Humor erkennt und erklären kann. So wurde bei der Vorstellung der neuen Version gezeigt, dass die KI zum Beispiel beschreiben kann, warum ein Comic lustig ist.
Was passiert mit Eingaben bei ChatGPT?
Wenn Sie eine Eingabe an ChatGPT senden, wird diese von den US-amerikanischen Servern verarbeitet, auf denen das KI-Modell ausgeführt wird. Die Eingabe wird als Text (ab ChatGPT 4 auch Bilder) eingegeben und dann von einem Modell interpretiert und verarbeitet, um eine Antwort zu generieren. Die Verarbeitung erfolgt durch eine komplexe Abfolge von mathematischen Operationen, die auf einem neuronalen Netzwerk basieren, das auf große Datenmengen trainiert wurde (Machine Learning).
Die Antworten von ChatGPT gehören zunächst niemandem, da sie von einem automatisierten Modell generiert werden. Das Modell wurde von OpenAI (OpenAI, LLC.) entwickelt und trainiert, um Antworten auf Fragen oder Kommentare zu generieren, basierend auf dem Text, der ihm als Eingabe gegeben wird. Die Antworten, die von ChatGPT generiert werden, sind das Ergebnis der Verarbeitung von Daten, die während des Trainingsprozesses des Modells verwendet wurden, und nicht das Ergebnis einer individuellen menschlichen Meinung oder Perspektive.
Dennoch kann es natürlich passieren, dass ChatGPT sich urheberrechtlich geschützten Quellen bedient. Wie in einem solchen Fall vorzugehen ist, ist aktuell rechtlich noch nicht abschließend bewertet. Problematisch ist zudem, dass ChatGPT die verwendeten Quellen nicht automatisch anzeigt, wenn dies bei der Eingabe nicht ausdrücklich gefordert wurde. Der Nutzer müsste sich also die Quellen anzeigen lassen und anschließend prüfen, ob diese urheberrechtlich geschützt sind. Berichten zufolge kann es allerdings vorkommen, dass ChatGPT Quellen erfindet, die es gar nicht gibt, oder eine Frage bei mehrfachem Stellen unterschiedlich beantwortet. Dieser Probleme sollte man sich beim Verwenden von ChatGPT bewusst sein.
Datenschutz-Risiken bei ChatGPT
Datenschutzrechtlich problematisch ist, dass zunächst sämtliche Eingaben bei ChatGPT getätigt werden können. Darunter können auch personenbezogene Daten sein. Zudem kann es vorkommen, dass die generierten Antworten bei ChatGPT als personenbezogene Daten betrachtet werden können, da diese von identifizierbaren Personen und deren Kontext erzeugt wurden. Das heißt, dass der Nutzer ggf. personenbezogene Daten in den Chat eingibt und ChatGPT diese Daten wiederum nutzt, um neue Antworten zu generieren. Der Kern der Problematik liegt darin, dass i.d.R. keine Rechtsgrundlage dafür vorliegt und von den Betroffenen zuvor keine Einwilligung eingeholt wird.
Zudem werden die Daten in die USA übermittelt, welche aufgrund des Datenschutzniveaus aktuell als unsicheres Drittland gilt. Diese Drittlandübermittlung muss abgesichert sein, weshalb Standardvertragsklauseln abgeschlossen werden müssen zwischen OpenAI und Unternehmen, welche diesen Dienst nutzen möchten. ChatGPT stellt einen Auftragsverarbeitungsvertrag, welcher oft auch Standarddatenschutzklauseln beinhaltet, für die Business-Services zur Verfügung. Ergänzend benötigt man auch eine Durchführung eines Transfer-Impact-Assessment für diese Verarbeitungstätigkeit.
Kann man ChatGPT in eigene Software einbinden?
Ja, es besteht die Möglichkeit, ChatGPT in eine eigene Software einzubinden. Dazu stellt OpenAI verschiedene APIs und Tools zur Verfügung, die es ermöglichen, dass ChatGPT in eigene Anwendungen oder Systeme integriert werden kann. Bei der Verwendung von APIs kann so innerhalb des eigenen Systems auf die Fähigkeiten von ChatGPT zurückgegriffen werden. Unternehmen können diese API nutzen, um eigene Chatbots zu erstellen und diese auf die spezifischen Bedürfnisse der Benutzer zu trainieren.
Bindet man ChatGPT in seinem Unternehmen ein, so muss OpenAI als Unterauftragnehmer in Auftragsverarbeitungsverträgen mit Kunden aufgelistet werden.
ChatGPT kann in verschiedenen Anwendungen und Plattformen eingebunden werden. Beispielsweise kann es bei Newsletter-Anbietern, Messaging-Plattformen und E-Commerce-Plattformen eingesetzt werden. Aber auch Microsoft möchte ChatGPT zukünftig verwenden, ebenso wie Bing und viele Weitere.
Wie kann man ChatGPT sicher nutzen?
Um ChatGPT sicher zu nutzen, sollten Sie keine sensiblen oder persönlichen Daten in den Chat eingeben, bei denen Sie nicht wollen, dass sie in die USA übermittelt werden und von anderen Menschen eingesehen werden können. Darüber hinaus sollten Sie die Datenschutzrichtlinie von ChatGPT sowie von OpenAI lesen, damit Sie sich über die Art und Weise, wie Ihre Daten verwendet werden, im Klaren sind. Um Ihre Privatsphäre zu schützen, sollten Sie darüber hinaus die Möglichkeit nutzen, Ihre Daten zu anonymisieren, wenn Sie ChatGPT nutzen.
Zudem empfehlen wir Ihnen, keine Kundendaten und personenbezogene Daten in den Chat einzugeben. Wenn sich dies allerdings nicht vermeiden lässt, sollten Sie einen Auftragsverarbeitungsvertrag inklusive Standardvertragsklauseln (SCC) abschließen und ein Transfer Impact Assessment (TIA) durchführen. Ihren Auftragsverarbeitungsvertrag sollten Sie dann für Ihre eigenen Kunden aktualisieren (neuer Unterauftragnehmer) und Ihre Informationspflichten über die Datenschutzerklärung weiterhin erfüllen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.