Datenschutz und ChatGPT

ChatGPT von OpenAI LLC erfreut sich bei Anwendern aktuell an einer hohen Popularität. Die einen probieren die Anwendung aus Neugier aus. Die anderen nutzen sie tatsächlich für ihre Arbeit. Wie aber sieht es mit dem Datenschutz und ChatGPT aus? Sollten Nutzer bzw. verantwortliche Stellen, die ChatGPT schon nutzen, sich Gedanken zum Datenschutz dabei machen? Gibt es überhaupt Bedenken zum Datenschutz? Wenn ja, worin liegen diese?

In diesem Beitrag werden wir uns vordergründig mit ChatGPT beschäftigen. Es gibt allerdings auch noch andere, ähnliche Angebote, z. B. zur Umwandlung von Sprache in Text (Whisper API) oder zur Bilderstellung nach individuellen Vorgaben (DALL-E API).

Was ist ChatGPT?

ChatGPT ist eine Online-Plattform, die es uns ermöglicht, per Text einen Befehl einzugeben, um diesen dann in Form eines gewünschten Textes oder kurzen Satzes –  je nach Fragestellung – ausgearbeitet zu bekommen. Wie auf der Webseite angezeigt, kann ChatGPT auch dabei helfen, ein Zeitfenster zu finden, wann bestimmte Personen zur selben Zeit verfügbar sind. Natürlich bestünde auch die Möglichkeit, den nächsten anstehenden Vortrag durch ChatGPT erstellen zu lassen.

Worin besteht der Zusammenhang zum Datenschutz?

Generell denken viele Nutzer beim Gedanken an ChatGPT nicht an den Datenschutz. Die Problematik liegt dabei aber wohl hauptsächlich in den eingegebenen Daten. Ein Mitarbeiter in der Personalabteilung ist möglicherweise damit beauftragt worden, ein Kündigungsschreiben aufzusetzen und es gibt noch keine Vorlage. Also kommt diesem Beschäftigten eventuell die Idee, dass er einfach mal den Befehl in ChatGPT eingibt, das Programm solle ein Kündigungsschreiben für Frau X wegen Grund Y aufsetzen. Die Daten werden auf den Server von OpenAI übermittelt, um den Befehl möglichst genau umzusetzen. Wenn der Mitarbeiter dann den Namen und den Kündigungsgrund angibt, werden personenbezogene Daten verarbeitet.

Rechtsgrundlage für die Verarbeitung

Eine verantwortliche Stelle darf personenbezogenen Daten nicht verarbeiten, wenn es keine Rechtsgrundlage dafür gibt. Es gilt das Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass eine Rechtsgrundlage vorliegen muss, wenn ein Verantwortlicher bzw. ein Beschäftigter dessen eine OpenAI-Anwendung für die Arbeitserledigung nutzt und dabei personenbezogene Daten verarbeitet. Welche die zutreffende Rechtsgrundlage ist, hängt davon ab, weshalb ein Verantwortlicher ChatGPT einsetzt.

Übrigens ist zu beachten, dass es auch zu einer Verarbeitung personenbezogener Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO kommen kann. In diesem Fall wäre die Verarbeitung solcher Daten bei ChatGPT-Einsatz wohl nur mit der Einwilligung (Art. 9 Abs. 2 lit. a) DSGVO) der betroffenen Person möglich.

Übermittlung personenbezogener Daten in ein unsicheres Drittland

ChatGPT ist ein Produkt der OpenAI LLC, die ihren Hauptsitz in den USA hat. Die USA gilt als unsicheres Drittland, nachdem der EuGH in 2020 das EU-US-Privacy-Shield für ungültig erklärt hat. – Zu den Folgen informierten wir in diesem Beitrag. – Das bedeutet, ein Verantwortlicher muss zusätzliche Maßnahmen ergreifen, um die betroffenen Personen u. a. vor unzulässiger Verarbeitung ihrer personenbezogenen Daten zu schützen.

Datenschutzvorfall, Schadensersatzansprüche, Bußgelder

Zum einen zählt die unrechtmäßige Verarbeitung personenbezogener Daten schon zu einem Vorfall, der negative Konsequenzen nach sich ziehen kann. Hierbei handelt es sich schließlich um einen Datenschutzverletzung, der zur Folge haben kann, dass die betroffene Person Schadensersatzansprüche geltend macht und/oder dass die zuständige Datenschutzaufsichtsbehörde ein Bußgeld verhängt – das übrigens auch ohne einen etwaigen Schadensersatzanspruch möglich ist.

Weiterführend hat dies zur Folge, dass das Ansehen eines Unternehmens Schaden nehmen kann. Zum einen bemerken beispielsweise Geschäftspartner, dass der Verantwortliche den Datenschutz selbst nicht konsequent umsetzt. Zum anderen stellen sich aber auch Fragen, die über den Datenschutz hinausgehen, wie solche nach dem Urheberrecht oder eventuell sogar nach dem Geschäftsgeheimnisgesetz etc.

Umsetzung im Unternehmen

Negative Konsequenzen, schon nur die unrechtmäßige Verarbeitung durch ChatGPT zu vermeiden, funktioniert. Dafür muss ein Verantwortlicher entsprechende Richtlinien kommunizieren. Dies gilt auch, sofern er die Nutzung von ChatGPT erlauben möchte. Dabei wäre dann aber auch zu prüfen, wie er den Schutz und die Sicherheit der übermittelten personenbezogenen Daten gewährleistet. Schließlich verlangt OpenAI die Erstellung eines Nutzerkontos, um deren Anwendungen überhaupt nutzen zu können. Dabei ist zu betrachten, wie datenschutzkonform es hier wäre, ein Firmenkonto, welches für alle Beschäftigte zugänglich ist, zu erstellen. Sodann ließe sich aber für einen Verantwortlichen nur schwer nachverfolgen, welcher Beschäftigte das Programm inwiefern nutzt und dabei die internen Nutzungsrichtlinien einhält. Verstößt ein Beschäftigter eventuell gegen diese, kann ein Verantwortlicher dies nicht einfach nachverfolgen.

Allerdings kommt es auch während des Besuches der Webseite bzw. während der Nutzung zur Verarbeitung der personenbezogenen Daten des Nutzers selbst, selbst wenn es ich um ein allgemeines Firmenprofil handelt. – Wie umfangreich sich die Verarbeitung gestalten kann, lässt die Datenschutzinformation von OpenAI erahnen (Link). – Darüber wären auch die Beschäftigten, sofern die ChatGPT-Nutzung erlaubt oder geduldet ist, zu informieren (Datenschutzinformation gemäß Art. 13 DSGVO).

OpenAI bietet einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO zur Überprüfung an. Dazu gehören dann auch der Abschluss der Standardvertragsklauseln oder die Umsetzung der Bedingungen nach Artikel 5 DSGVO. Inwiefern hier wohl tatsächlich eine Auftragsverarbeitung vorliegt, wäre zu prüfen. Wenn OpenAI nämlich personenbezogene Daten zu eigenen Zwecken nutzt, beispielsweise um die Anwendungen zu verbessern, weist dies auf eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO hin.

Veröffentlichungen der Datenschutzaufsichtsbehörden

Die italienische Datenschutzaufsichtsbehörde veröffentlichte am 31.03.2023 eine Stellungnahme, wonach sie den Einsatz von ChatGPT in Italien verbietet, zumindest temporär. Diese Anordnung sprach die italienische Datenschutzaufsichtsbehörde u. a. aufgrund folgender Ereignisse aus:

1) Es ereignete sich bei OpenAI ein Datenschutzvorfall, worüber die betroffenen Personen nicht informiert worden sind und das, obwohl sensible Daten wie Zahlungsinformationen und Unterhaltungsverläufe betroffen waren.

2) Daraus ergab sich auch die Problematik, dass OpenAI unrichtige personenbezogene Daten verarbeitete.

3) Das Unternehmen verarbeitet umfangreich personenbezogener Daten ohne Rechtsgrundlage.

4) Weiterhin setzt OpenAI nur unzureichende Maßnahmen zur Alterskontrolle zum Schutz Minderjähriger ein.

5) Schließlich wurden mangelhafte Datenschutzinformationen für betroffene Personen bemängelt; diese können nicht nachvollziehen, in welchem Umfang ihre personenbezogenen Daten verarbeitet werden. – Hier sind beispielsweise auch entsprechende Hinweise vonnöten, dass die Nutzereingaben dazu genutzt werden, um die KI (Künstliche Intelligenz) zu verbessern. –

Fazit

Wer weiß, dass in seiner Einrichtung ChatGPT genutzt wird und daher versuchen möchte, dies datenschutzkonform zu gestalten oder generell Unterstützung und Beratung zum Datenschutz wünscht, kann gern mit uns in Kontakt treten.