ChatGPT und Datenschutz: Vorsicht bei der Eingabe personenbezogener Daten

Die Nutzung von ChatGPT kann einen Datenschutzverstoß darstellen, wenn personenbezogene Daten ohne Rechtsgrundlage in das Eingabefeld eingegeben und somit verarbeitet werden. Dies hat insbesondere für Unternehmen Auswirkungen, die ChatGPT oder ähnliche KI-Anwendungen automatisiert in ihre Prozesse integrieren.

Bei Datenschutzverstößen im Zusammenhang mit ChatGPT drohen Unternehmen empfindliche Bußgelder. Stellen Sie daher unbedingt sicher, dass Ihre Prozesse Datenschutz-compliant sind.

Vorsicht bei personenbezogenen Daten im ChatGPT-Eingabefeld

Bei jeglicher Verarbeitung personenbezogener Daten sind Sie verpflichtet, alle gültigen Datenschutzgesetze einzuhalten. Dafür benötigen Sie immer eine einschlägige Rechtsgrundlage. Personenbezogene Daten, die Sie in ChatGPT eingeben oder per API direkt übermitteln, werden für die Generierung einer Antwort herangezogen und können – abhängig von der genutzten Lizenz und Konfiguration – zusätzlich für Trainingszwecke gespeichert werden.

Verarbeiten Sie personenbezogene Daten ohne Rechtsgrundlage mit ChatGPT oder anderen KI-Anwendungen, liegt daher ein Datenschutzverstoß vor, der mit hohen Bußgeldern geahndet werden kann.

Das ist vor allem dann relevant, wenn Sie die KI in automatisierten Prozessen nutzen, bei denen Eingaben nicht einzeln von Mitarbeitern geprüft werden.

In der Praxis ist es zwar äußerst unwahrscheinlich, dass Aufsichtsbehörden oder Betroffene von möglichen Datenschutzverstößen direkt erfahren. Allerdings werden die Logs Ihrer Interaktionen mit ChatGPT gespeichert. Wird Ihr Unternehmen etwa zu einem späteren Zeitpunkt durch eine Aufsichtsbehörde überprüft, kann Ihnen auch dann noch ein Datenschutzverstoß nachgewiesen werden.

Lassen sich personenbezogene Daten mit ChatGPT überhaupt rechtssicher verarbeiten?

Die Verarbeitung personenbezogener Daten wird durch die DSGVO streng reguliert. Zum einen muss eine Rechtsgrundlage geschaffen werden, also z. B. eine explizite Einwilligung zur Verarbeitung von den Betroffenen eingeholt werden.

Zum anderen müssen dafür bereits im Vorhinein alle involvierten Prozesse und Programme transparent aufgeführt und entsprechend datenschutzkonform werden, wobei sichergestellt werden muss, dass bei jedem Schritt die Rechte der betroffenen Person und ihre Interessen am Schutz der eigenen Daten gewahrt bleiben.

Beim Einsatz von externen Dienstleistern bzw. Anwendungen für die Verarbeitung personenbezogener Daten muss mit diesen außerdem ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden.

Möchten Sie ChatGPT bei der Verarbeitung von personenbezogenen Daten nutzen, ist es daher in jedem Fall notwendig, dass Sie die explizite Einwilligung dafür bei Betroffenen einholen, oder eine andere Rechtsgrundlage prüfen, und einen Auftragsverarbeitungsvertrag (AVV) mit dem Unternehmen OpenAI schließen.

Dies ist mit bestimmten Lizenzen wie etwa der Enterprise- oder der API-Lizenz tatsächlich möglich. Mit der Gratis- oder Pro-Version ist dies nach aktuellem Stand jedoch nicht möglich. Mit diesen können personenbezogene Daten daher in der Regel nicht rechtskonform verarbeitet werden.

Die Lizenzen mit AVV-Möglichkeit haben einen weiteren wichtigen Vorteil: Sie können hier die Datenverarbeitung zu Trainingszwecken deaktivieren. Dies ist eine notwendige Voraussetzung, da die Verarbeitung zu Trainingszwecken so undurchsichtig ist, dass eine datenschutzkonforme Nutzung hier praktisch ausgeschlossen werden kann. Sie müssen diese Option also in jedem Fall aktivieren, um Ihre Chancen auf eine datenschutzkonforme Nutzung zu erhalten.

Selbst unter Beachtung dieser Punkte bleiben jedoch Risiken. Beispielsweise ist kaum nachvollziehbar und obendrein unwahrscheinlich, dass fundamentale Datenschutzkonzepte wie etwa der Schutz von Daten Minderjähriger zur Anwendung kommen, die jedoch für Compliance zwingende Voraussetzung sind. Hier muss also unbedingt eine Bereinigung der Daten vor der Übermittlung an OpenAI stattfinden.

Im besten Fall stellen Sie ohnehin nur Daten für die KI bereit, die von sensiblen Daten wie Klarnamen bereinigt sind. Sie können stattdessen beispielsweise Codenamen verwenden und auf die Weitergabe von Daten, die für den verfolgten Zweck nicht notwendig sind, komplett verzichten.

Zuletzt gibt es noch das Risiko, dass das bislang gültige Datenschutzabkommen DPF zwischen der EU und den USA scheitert und die USA nicht weiter als sicheres Drittland gelten. Unternehmen müssten dann auf EU-Standardvertragsklauseln ausweichen und zusätzliche Schutzmaßnahmen implementieren.

Fazit: Die rechtskonforme Nutzung von ChatGPT zur Verarbeitung personenbezogener Daten ist nur unter bestimmten Voraussetzungen denkbar und unterliegt auch im besten Fall gewissen Risiken. In jedem Fall benötigen Sie eine Lizenz, mit der Sie einen gültigen AVV schließen und die Nutzung von Eingaben zu Trainingszwecken ausschließen können.

Sicherer fahren Sie damit, so wenig personenbezogene Daten wie möglich zu übertragen und diese nach Möglichkeit zu codieren. Aus Sicht der Datenschutz-Compliance ist es jedoch am sichersten, ganz auf die Verarbeitung personenbezogener Daten über ChatGPT zu verzichten.

ChatGPT & Compliance – grundsätzlich ein schwieriges Thema

Das Thema ChatGPT & Datenschutz ist schon seit vielen Jahren von Konflikten und Problemen geprägt, wobei hier zumeist die undurchsichtigen Praktiken von OpenAI zum Bezug von Trainingsdaten in Verdacht gerieten. Noch heute steht OpenAI aufgrund möglicher Datenschutzverstöße im Fokus europäischer Datenschutzbehörden.

Unternehmen, die ChatGPT nutzen, müssen indes noch weitere Herausforderungen bei der Herstellung von Compliance meistern. Vor allem urheberrechtliche Bedenken und die Einordnung in eine Risikoklasse nach KI-VO sind in diesem Zusammenhang besonders erwähnenswert.Mehr Infos zum rechtskonformen Einsatz von ChatGPT in Unternehmen erhalten Sie in unserem Beitrag: Meine Firma setzt ChatGPT ein, darf sie das?