Seitdem das US-Unternehmen OpenAI im November 2022 den KI-basierten Chatbot ChatGPT (Chat Generative Pre-trained Transformer) veröffentlichte, ist ein Hype darum entbrannt.
Dies belegen nicht nur die enorme Zahl an Neu-Anmeldungen innerhalb der ersten 5 Tage nach Veröffentlichung (Eine Million), sondern auch die bis dahin nicht abnehmende Welle an Nachrichten, Beiträgen und Kommentaren in den Medien aus einschlägigen Fachkreisen (dieser nicht ausgenommen).
Was ist ChatGPT und was erklärt den Hype darum?
ChatGPT ist ein sog. Chatbot. Ein Chatbot ist eine textbasierte Anwendung, die es Menschen ermöglicht über eine technische Schnittstelle (API) mit technischen Systemen zu chatten. Dies ist für Unternehmen von besonderer Relevanz und ein maßgeblicher Faktor für gesteigerte Effizienz und Qualität.
Das Besondere an ChatGPT ist, dass er auf Basis künstlicher Intelligenz funktioniert, d.h. er verwendet maschinelles Lernen, um selbständig Antworten auf Benutzerfragen zu generieren. Dies bringt ihn im Vergleich zu bspw. regelbasierten Chatbots auf ein ganz neues Level der Usability.
Datenschutzrechtliche Problemfelder bei der Nutzung von ChatGPT
Da im Rahmen der Nutzung von Chatbots personenbezogene Daten verarbeitet werden können, sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten.
Die Pflicht, dass personenbezogene Daten DSGVO-konform verarbeitet werden, trifft in erster Linie den Verantwortlichen. Verantwortlicher im Sinne der DSGVO ist derjenige, der über Zwecke und Mittel der Verarbeitung entscheidet. Konkret heißt das, dass ein Unternehmen die Entscheidungshoheit darüber hat, warum und wie ChatGPT für seine Interessen genutzt wird.
Zweckbindung
Vor dem Hintergrund der Zweckbindung ist es problematisch, dass ChatGPT die personenbezogenen Daten in der Regel nicht nur zu dem vom Verantwortlichen festgelegten Zweck, sondern auch für andere eigene Zwecke nutzen will, so zu Beispiel für das Anlernen der künstlichen Intelligenz.
Dies ist für den Verantwortlichen beim Abschluss eines Auftragsverarbeitungsvertrages eine derzeit nur schwer lösbare Herausforderung, da die Daten in diesem Rahmen nur für seine eigenen Zwecken weisungsgebunden verarbeitet werden dürfen.
Sofern die Daten auch für andere Zwecke verarbeitet werden sollen, muss eine geeignete Rechtsgrundlage diese Verarbeitung legitimieren.
Trennung der Daten
In diesem Zusammenhang sollte mittels technischer und organisatorischer Maßnahmen verhindert werden, dass Daten aus verschiedenen Quellen zusammengeführt werden. Dieses Risiko könnte theoretisch bestehen, wenn ein Kunde eines Verantwortlichen ChatGPT nutzt und aufgrund seiner Anfrage Informationen eines anderen Kunden erhält.
Speicherbegrenzung
OpenAI gibt in seinen FAQ an, nicht in der Lage zu sein, bestimmte sog. Prompts (Texteingaben zum Abruf von Information) aus der Nutzung von ChatGPT zu löschen. Gerade wenn diese Prompts einen Personenbezug aufweisen, ist dieser Umstand nicht mit der DSGVO vereinbar. Die Löschung personenbezogener Daten ist nicht nur ein Recht der betroffenen Person, sondern auch Grundsatz der DSGVO personenbezogene Daten zu löschen, sobald der Zweck der Datenverarbeitung erreicht ist. Ist daher nicht gewährleistet, dass die von ChatGPT verarbeiteten Daten keinen Personenbezug mehr haben, ist die Nutzung mit Vorsicht zu genießen.
Datenschutzfolgenabschätzung
Da es sich bei KI-basierten Chatbots wie ChatGPT allgemein um eine neuartige Technologie handelt, wird deren Verwendung in der Regel die Durchführung einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO erforderlich machen.
Die Aufsichtsbehörden des Bundes und der Länder haben darüber hinaus bereits in einer sog. Positivliste bestimmte Anwendungsgebiete festgelegt, für die eine Datenschutzfolgenabschätzung zwingend notwendig ist. Dies betrifft beispielsweise die Nutzung von KI im Rahmen des Kundensupports.
Wie eine Datenschutzfolgenabschätzung durchzuführen ist, ist nicht in der DSGVO nicht geregelt. Es gibt allerdings Leitlinien und Online-Tools deutscher sowie europäischer Datenschutzgremien, die der Verantwortliche zu Hilfe nehmen kann.
Für Auftragsverarbeiter
Verwenden Unternehmen als Auftragsverarbeiter ChatGPT und verarbeiten damit personenbezogene Daten für ihre Kunden, sind die oben genannten Problemfelder gleichermaßen relevant. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen weisungsgebunden und letztlich als sein verlängerter Arm verpflichtet, ihn bei der Einhaltung der DSGVO zu unterstützen.
Auswirkungen der kommenden KI-Verordnung auf die Nutzung von ChatGPT
Die geplante KI-Verordnung wird das Inverkehrbringen und den Einsatz künstlicher Intelligenz innerhalb Europas einheitlich regulieren. Neben den Chancen, die der Einsatz von künstlicher Intelligenz bietet, sollen in dem neuen EU-Gesetz die damit einhergehenden Risiken adressiert werden. Es ist daher zu erwarten, dass mit Inkrafttreten der KI-Verordnung Anbieter und Nutzer von KI-Systemen wie ChatGPT u.a. hinsichtlich der oben genannten Aspekte konkreter in die Pflicht genommen werden.
Wenn Sie Fragen rund um Datenschutz und der Einbindung von ChatGPT oder vergleichbare Anwendungen haben, dann kontaktieren Sie uns gerne.
(Dieser Beitrag wurde nicht mithilfe von ChatGPT geschrieben. 😉)
)
)