Datenschutzanwälte mit über 50 Jahren Erfahrung

Kostenlose Erstberatung
/insights

Aktualisiert Mittwoch, November 22, 2023

Aktualisiert Mittwoch, November 22, 2023

GPT API: Ein Leitfaden zur datenschutzkonformen Integration

In diesem Artikel beleuchten wir einen wesentlichen Aspekt der KI-Technologie: die Einhaltung der Datenschutzgesetze bei der Verwendung der OpenAI API. Diese Plattform erschließt den Zugriff auf das derzeit wohl fortschrittlichste KI-Modell, die GPT API.

Steffen Groß

Partner (Rechtsanwalt)

Generative AI und Language Models
ChatGPT vs. GPT API
Anwendungsbeispiel: GPT-Chatbot im E-Commerce
Datenschutzanforderungen bei Nutzung der GPT API
Rechtliche Bewertung: Datenschutz Compliance
Fallstricke und häufige Fehler bei der Implementierung im Datenschutz
Fazit
Unterstützung durch Simpliant

Erhalten Sie Unterstützung von unseren Anwälten

Datenschutz kann kompliziert sein. Unser erfahrenes Team unterstützt Sie gern.

Kostenlose Erstberatung

In der aktuellen Geschäftswelt ist die Integration von Künstlicher Intelligenz (KI) unverzichtbar geworden. Technologien wie die GPT API von OpenAI bieten innovative Methoden, mit denen Unternehmen ihre Prozesse automatisieren und optimieren können. Diese Entwicklungen eröffnen praktische Lösungen für eine Vielzahl von Herausforderungen in unterschiedlichen Geschäftsbereichen und ermöglichen eine effizientere Gestaltung der Arbeitsabläufe mit messbaren Kosteneinsparungen.

KI-Technologien können z.B. zur Verbesserung der Kundeninteraktion beitragen, insbesondere durch den Einsatz intelligenter Chatbots. Sie ermöglichen ein effizienteres Bestands- und Warenmanagement und automatisieren zahlreiche Geschäftsprozesse, was zu signifikanten Steigerungen der Effektivität führt. KI-Anwendungen werden daher bereits heute von vielen Unternehmen erfolgreich genutzt und tragen zu messbaren Kosteneinsparungen sowie einer deutlichen Verbesserung der betrieblichen Abläufe bei.

Die Einführung von KI-Technologien bringt jedoch auch Herausforderungen mit sich, insbesondere in Bezug auf Datenschutz und Privatsphäre. Die rechtlich korrekte Implementierung von KI-Technologien ist von grundlegender Bedeutung, besonders im Hinblick auf die Einhaltung von Gesetzen wie der Datenschutz-Grundverordnung (DSGVO).

Dabei gilt es, das Potenzial der KI voll auszuschöpfen, während zugleich die Datenhoheit gewahrt und das Vertrauen der Kunden nicht gefährdet werden sollte. Darüber hinaus ist es wichtig, datenschutzrechtliche Risiken zu minimieren, um mögliche Bußgelder zu vermeiden.

Eine rechtlich korrekte Umsetzung, die sowohl die technologischen Möglichkeiten als auch die rechtlichen Anforderungen berücksichtigt und in Einklang bringt, ist daher essenziell für Unternehmen.


Generative AI und Language Models

Generative KI, oder Generative Artificial Intelligence, bezeichnet einen Bereich der künstlichen Intelligenz, der darauf spezialisiert ist, neue Daten zu erstellen, die denen ähneln, auf denen sie trainiert wurde. Dies kann Text, Bilder, Sprache und vieles mehr umfassen. Im Gegensatz zu traditioneller KI, die darauf ausgerichtet ist, Daten zu analysieren und zu interpretieren, generiert die generative KI eigenständig Inhalte.

Maschinelles Lernen hingegen ist eine spezifische Anwendung der KI, die Systemen die Fähigkeit gibt, aus Daten zu lernen und sich zu verbessern, ohne explizit programmiert zu werden.

Die GPT (Generative Pre-trained Transformer) API von OpenAI ist ein Beispiel für fortgeschrittene generative KI. GPT basiert auf dem Konzept der Large Language Models (LLMs), die eine Untergruppe der maschinellen Lernmodelle darstellen. Diese Modelle werden auf riesigen Datensätzen von Text trainiert und können dadurch eine Vielzahl von sprachbasierten Aufgaben durchführen, von der Beantwortung von Fragen bis hin zur Erstellung von Texten in verschiedenen Stilen.

Im Kern unterscheidet sich GPT von traditioneller KI durch seinen generativen Ansatz. Während traditionelle KI-Systeme hauptsächlich auf die Analyse und Interpretation von Daten ausgerichtet sind, kann GPT eigenständig Inhalte erzeugen, die menschenähnlich wirken. Dies umfasst das Schreiben von Artikeln, das Erstellen von Gedichten oder das Generieren von Dialogen.

Ein Schlüsselelement von LLMs und insbesondere von GPT ist das Konzept des "pre-training". Vor dem Einsatz wird das Modell auf einer breiten Palette von Textdaten trainiert, wodurch es ein tiefes Verständnis der Sprache und ihrer Nuancen entwickelt. Nach diesem Vortraining kann GPT dann auf spezifische Aufgaben "feinabgestimmt" werden, indem es auf kleineren, spezialisierten Datensätzen trainiert wird. Dies ermöglicht eine hohe Flexibilität und Anpassungsfähigkeit an verschiedene Anwendungsbereiche.

Neben GPT existieren weitere wichtige Large Language Models, darunter BERT von Google, das für seine kontextbezogene Textanalyse bekannt ist, TransformerXL und XLNet, die auf fortgeschrittene Textverarbeitung spezialisiert sind, sowie RoBERTa und T5, die sich in speziellen Bereichen der natürlichen Sprachverarbeitung (NLP) hervortun. Claude von Anthropic unterscheidet sich durch seinen Fokus auf menschenzentrierte Interaktion und Sicherheit. Diese Modelle stellen unterschiedliche Herangehensweisen und Spezialisierungen im Bereich der generativen KI dar.


ChatGPT vs. GPT API

Die GPT API von OpenAI ist eine Schnittstelle, die Dritten Zugang zu den Fähigkeiten des GPT (Generative Pre-trained Transformer) Modells bietet. Diese API ermöglicht es Entwicklern und Unternehmen, die Fähigkeiten von GPT in ihren eigenen Anwendungen zu nutzen.

Im Gegensatz zur GPT API von OpenAI, die als eine umfassende Schnittstelle zu den vielfältigen Fähigkeiten des GPT-Modells dient, ist ChatGPT eine spezifische Anwendung dieses Modells, die hauptsächlich für Dialogzwecke optimiert ist. Dies lässt sich gut mit dem Unterschied zwischen dem Zugang zu einer ganzen Bibliothek und einem einzelnen Buch vergleichen:

  1. ChatGPT: Ähnlich einem spezialisierten Buch, das Antworten auf eine breite Palette von Themen bietet, ist ChatGPT darauf ausgerichtet, Fragen zu beantworten und Gespräche zu führen. Es ist eine konkrete Implementierung des GPT-Modells, bei der der Schwerpunkt auf dialogorientierter Interaktion liegt.
  2. GPT API: Die GPT API hingegen gleicht dem Zugang zu einer Bibliothek mit verschiedenen Büchern, wobei jedes Buch unterschiedliche Funktionen des GPT-Modells repräsentiert. Entwickler können die API nutzen, um auf diese Funktionen zuzugreifen und sie in ihre eigenen digitalen Produkte zu integrieren. Dadurch eröffnet sich die Möglichkeit, das GPT-Modell für eine Vielfalt von Anwendungen zu nutzen – von der Textgenerierung über automatische Übersetzungen bis hin zu spezialisierten Informationsanfragen.

Technisch gesehen bietet ChatGPT eine gezielte Interaktionsmöglichkeit mit dem GPT-Modell, während die GPT API einen breiteren Zugang zu den vielfältigen Fähigkeiten des Modells ermöglicht. Somit ist ChatGPT eine auf Konversationen fokussierte Instanz von GPT, während die GPT API ein vielseitiges Werkzeug für eine Reihe von Anwendungen ist, die die umfangreichen Möglichkeiten des GPT-Modells nutzen wollen.


Anwendungsbeispiel: GPT-Chatbot im E-Commerce

Ein anschauliches Anwendungsbeispiel für die GPT API von OpenAI bietet ein fiktives Unternehmen, das einen Online-Shop für individuelle Holzarbeiten betreibt. Um den Kundenprozess auf seiner Webseite zu optimieren, hat dieses Unternehmen einen Chatbot eingeführt, der die GPT API nutzt.

Der Chatbot ist darauf programmiert, Kunden umfassend zu beraten. Er informiert über den Produktkatalog, gibt Auskunft zu Materialien und Maßen der Holzarbeiten, erklärt die Lieferzeiten und führt die Kunden durch den Bestellvorgang. So kann ein Kunde beispielsweise den Chatbot nach einem speziellen Holztisch fragen und erhält Informationen zu verschiedenen Designs, Größen und Holzarten. Auch Fragen zum Bestell- und Lieferprozess beantwortet der Chatbot präzise und nutzerfreundlich.

Wenn ein Kunde bereit ist, eine Bestellung aufzugeben, leitet der Chatbot diesen durch den Bestellprozess, nimmt die Bestellung auf und erfasst alle notwendigen Informationen. Sollte der Kunde weitere Fragen haben oder eine persönlichere Beratung wünschen, sammelt der Chatbot die Kontaktdaten und leitet diese für eine spätere Rückmeldung an das Unternehmen weiter.

Durch die Integration der GPT API ist der Chatbot in der Lage, komplexe Kundenanfragen zu verstehen und darauf zu reagieren, was zu einer verbesserten Effizienz im Verkaufsprozess führt.

Weitere exemplarische Anwendungsbeispiele sind:

  1. Content-Erstellung und -Management
    Automatisierte Erstellung von Marketinginhalten, wie Blogbeiträgen oder Produktbeschreibungen
  2. Persönliche Assistenten in Apps
    Intelligente Assistenten für Planungs- und Organisationsaufgaben in Produktivitäts-Apps
  3. Sprachgesteuerte Anwendungen
    Entwicklung von Sprach-Interfaces für Software und IoT-Geräte
    Ermöglichung einer intuitiveren und zugänglicheren Nutzerinteraktion
  4. Bildungssektor
    Erstellung personalisierter Lerninhalte und interaktiver Lernhilfen
  5. Analyse und Datenaufbereitung
    Automatisierte Zusammenfassung und Interpretation bei der Datenanalyse und -präsentation

Diese Beispiele demonstrieren die Vielseitigkeit und Leistungsfähigkeit der GPT API, die es Unternehmen ermöglicht, kundenspezifische und intelligente Lösungen für verschiedenste Anwendungsbereiche zu entwickeln.


Datenschutzanforderungen bei Nutzung der GPT API

Beschreibung der Datenflüsse

Bei der Nutzung der GPT API von OpenAI sind unterschiedliche Akteure beteiligt, und es werden dabei sowohl personenbezogene als auch nicht-personenbezogene Daten verarbeitet. Zu diesen Akteuren gehören – je nach Anwendungsszenario - Kunden, Unternehmen, Mitarbeiter und OpenAI, Inc., die Entwicklerin und Bereitstellerin der GPT API.

Im Kontext des Beispiels, in dem ein Kunde Bestelldaten (wie Name, Adresse, E-Mail und Inhalt der Bestellung) auf einer Webseite eingibt, lässt sich der Datenfluss von der Eingabe bis zur Verarbeitung durch OpenAI wie folgt darstellen:

Kunde:
Der Kunde gibt seine Bestelldaten - Name, Adresse, E-Mail und Details der Bestellung - in ein Eingabefeld auf der Webseite ein, das von einem Chatbot oder einem Bestellformular unterstützt wird, welches die GPT API nutzt. Die eingegebenen Informationen werden vom Interface der Webseite erfasst und verarbeitet.

Unternehmen/Mitarbeiter:

Das Unternehmen, das die Webseite betreibt, sammelt die vom Kunden eingegebenen Daten. Diese Daten können durch Mitarbeiter eingesehen werden, etwa zur Überprüfung der Bestellung oder zur Beantwortung von Kundenanfragen. Die gesammelten Bestelldaten werden automatisch an die GPT API weitergeleitet, falls der Prozess eine Verarbeitung oder Antwort durch die KI erfordert, wie z.B. eine Bestätigung der Bestellung oder zusätzliche Informationen.

OpenAI Inc.:

OpenAI empfängt die Daten durch die API-Anfrage des Unternehmens. Die GPT API verarbeitet diese Anfrage, um die entsprechenden Antworten oder Aktionen zu generieren, wie z.B. die Erstellung einer Bestellbestätigung. OpenAI hat Zugriff auf die Daten, die durch API-Anfragen übermittelt werden, einschließlich möglicher personenbezogener Daten der Kunden, abhängig von der Art der Anfrage und den bereitgestellten Informationen.


Rechtliche Bewertung: Datenschutz Compliance

Das Unternehmen ist dafür verantwortlich, dass die Datenerhebung und -verarbeitung der Kundendaten entsprechend den rechtlichen Anforderungen entspricht.

Aus datenschutzrechtlicher Sicht unterliegt das Unternehmen, das die Webseite betreibt und die GPT API von OpenAI nutzt, der Datenschutz-Grundverordnung (DSGVO). Die Handhabung der Kundendaten muss daher folgende Aspekte berücksichtigen:

Einhaltung der DSGVO durch das Unternehmen: Bei der Verarbeitung personenbezogener Kundendaten ist das Unternehmen an die DSGVO gebunden. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist die Vertragserfüllung gemäß Artikel 6 Abs.1 b) DSGVO. Dies umfasst die Sammlung und Verarbeitung von Kundendaten für Bestellungen, die über die Webseite aufgegeben werden.

Einsatz von Dienstleistern: Das Unternehmen kann für verschiedene Aufgaben Dienstleister einbeziehen, wie beispielsweise Webhosting-Unternehmen, Serverbetreiber oder Versanddienstleister. In solchen Fällen ist die Rechtsgrundlage für die Datenverarbeitung durch diese Dienstleister Artikel 28 DSGVO, der die Anforderungen an Auftragsverarbeiter regelt.

OpenAI als Auftragsverarbeiter: In Bezug auf die Nutzung der GPT API agiert OpenAI als Auftragsverarbeiter für das Unternehmen. Als solcher verarbeitet OpenAI die Daten im Auftrag und nach den Anweisungen des Unternehmens. Es ist erforderlich, dass zwischen dem Unternehmen und OpenAI ein Auftragsverarbeitungsvertrag besteht, der den Umgang mit und den Schutz der personenbezogenen Daten gemäß Artikel 28 DSGVO regelt.

Die Firma stellt ihren Kunden einen Auftragsverarbeitungsvertrag (Data Processing Addendum „DPA“) bereit, der die Verarbeitung von Kundendaten durch OpenAI regelt. Dieser Zusatz ist Teil des Gesamtvertrags zwischen dem Kunden und OpenAI und bezieht sich auch auf die Nutzung von OpenAIs API und anderen Dienstleistungen für Unternehmen.

https://openai.com/policies/data-processing-addendum

Das Unternehmen bindet die Standardvertragsklauseln (SCC) der EU in den Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) ein, um die Übertragung personenbezogener Daten außerhalb der EU gemäß den EU-Datenschutzbestimmungen zu regulieren. Diese Klauseln stellen die rechtliche Basis für den internationalen Datenverkehr dar. Üblicherweise werden sie entweder direkt als DPA genutzt oder in bestehende Verträge integriert.

Gemäß dem DPA von OpenAI, werden die Standardvertragsklauseln (SCC) der EU in den Fällen angewandt, in denen Kunden Daten aus dem Europäischen Wirtschaftsraum übertragen. In solchen Fällen haben die SCC Vorrang und werden als integraler Bestandteil des DPA betrachtet. Wenn es zu einem Konflikt zwischen den SCC und anderen Teilen des DPA oder der zugrundeliegenden Vereinbarung kommt, haben die Bestimmungen der SCC Vorrang gegenüber abweichenden Regelungen im OpenAI DPA.

Die wesentlichen Pflichten von OpenAI im Rahmen des Auftragsverarbeitungsvertrages nach Art. 28 DSGVO umfassen:

  1. Keine Nutzung für eigene Zwecke: OpenAI handelt als Datenverarbeiter und verarbeitet Kundendaten ausschließlich gemäß den Anweisungen des Kunden.

  2. Datenschutz und Sicherheit: OpenAI ist verpflichtet, angemessene Sicherheitsmaßnahmen zum Schutz der Daten zu implementieren und die Datenverarbeitung im Einklang mit den geltenden Datenschutzgesetzen durchzuführen.

  3. Datenlöschung und Datenhoheit: OpenAI ist als Auftragsverarbeiter an die Weisungen der Kunden gebunden. Bei Vertragsende oder auf sonstige Weisung des Kunden muss OpenAI Inc. die übermittelten Daten löschen.

Zusammengefasst erfüllt der Datenfluss im besprochenen Anwendungsbeispiel grundlegend die datenschutzrechtlichen Anforderungen. Das Unternehmen, welches die Kundendaten für Bestellungen und Beratungen nutzt, ist gemäß des DPA und im Einklang mit Artikel 28 DSGVO sowie den Standardvertragsklauseln (SCC) grundsätzlich berechtigt, personenbezogene Daten an OpenAI zu übermitteln.


Fallstricke und häufige Fehler bei der Implementierung im Datenschutz

Das oben gesagte ist aber keineswegs ein Freifahrtschein in Sachen Datenschutz. Um die GPT API rechtskonform zu integrieren sind folgende Haftungsfallen zu umschiffen:

Haftungsfalle 1: Sorgfältige Auswahl des Dienstleisters

Aufgrund von Artikel 28 DSGVO müssen Unternehmen sicherstellen, dass ihre Dienstleister, wie beispielsweise OpenAI, die Datenschutzanforderungen einhalten. Dies bedeutet, dass Unternehmen aktiv prüfen müssen, ob diese Dienstleister die Datenschutzanforderungen einhalten.

Die Umsetzung dieser Pflicht stellt Unternehmen in der Praxis allerdings vor praktisch unlösbare Herausforderungen, da es oft schwierig ist, die Einhaltung der Datenschutzanforderungen durch Dritte zu beurteilen. Solange allerdings keine behördlichen Verbotsverfügungen oder ähnliche Maßnahmen gegen diese Dienstleister erlassen wurden, kann von Unternehmen keine bessere Beurteilung der Datenschutzkonformität von OpenAI erwartet werden als von den Datenschutzbehörden mit ihren ungleich umfangreicheren Mitteln zur datenschutzrechtlichen Bewertung selbst. Im jetzigen Zeitpunkt kann aus Art. 28 Abs. 1 DSGVO keine umfangreiche Prüfpflicht für die nähere Betrachtung der Datenschutzkonformität von OpenAI abgeleitet werden.

Haftungsfalle 2: Einbindung im konkreten Fall und Risikobewertung

Obwohl die Übermittlung von Daten, einschließlich personenbezogener Daten, an OpenAI grundsätzlich auf der Grundlage eines Auftragsverarbeitungsvertrags möglich ist, darf daraus nicht pauschal geschlossen werden, dass eine solche Übermittlung in jedem Fall und jeder Konstellation zulässig wäre.

Es ist vielmehr entscheidend, jedes spezifische Anwendungsszenario individuell zu betrachten. Es sollte zunächst evaluiert werden, welche Datenkategorien übermittelt werden und ob vertragliche oder gesetzliche Vorgaben einer Übermittlung an OpenAI entgegenstehen.

Unternehmen, die OpenAI GPT in ihre eigenen Anwendungen integrieren, müssen darüber hinaus sicherstellen, dass ihre eigenen Anwendungen im konkreten Fall datenschutzkonform sind. Die Planung der Integration der GPT API sollte daher bereits in den Entwicklungsprozess einbezogen werden („Privacy by Design“, Art. 25 DSGVO).

Ausschließlich auf die KI gestützte Bewerbungs- und Assessment-Center-Entscheidungen wären z.B. regelmäßig wegen Verstoßes gegen Art. 22 DSGVO datenschutzwidrig. Vor der Übermittlung von Daten an OpenAI muss daher genau evaluiert werden, welche Daten betroffen sind und inwieweit spezielle rechtliche Vorgaben bezüglich des Umgangs mit diesen Daten bestehen.

Haftungsfalle 3: Fehlende interne Datenschutzmaßnahmen (Verfahrensverzeichnis, Datenschutzerklärung, DSFA)

Bei der Integration der GPT-API von OpenAI in Unternehmensprozesse sind neben der direkten Datenübermittlung an OpenAI auch interne Datenschutzmaßnahmen von entscheidender Bedeutung. Eine wesentliche Komponente hierbei ist die sorgfältige Pflege des Verfahrensverzeichnisses, um sicherzustellen, dass die entsprechenden Prozesse korrekt und vollständig dokumentiert sind. Dies beinhaltet die genaue Beschreibung, wie die GPT-API in die Unternehmensabläufe eingebunden wird, einschließlich der Datenverarbeitungsschritte und der beteiligten Systeme.

Ein weiterer wichtiger Aspekt ist die Anpassung und Überprüfung der Datenschutzerklärungen. Es muss gewährleistet werden, dass die Nutzung und der Einsatz der KI, insbesondere der GPT-API, in der Datenschutzerklärung klar und verständlich dargestellt werden. Dies dient der Erfüllung des Transparenzgebots, das ein grundlegendes Prinzip der DSGVO ist.

Zusätzlich ist, abhängig vom Ergebnis einer initialen Risikobewertung, bei hohen Risiken für die Rechte und Freiheiten der betroffenen Personen die Durchführung einer Datenschutzfolgenabschätzung erforderlich. Diese dient dazu, die Datenschutzrisiken, die sich aus der Verwendung der GPT-API ergeben könnten, zu identifizieren und entsprechende Maßnahmen zur Risikominimierung festzulegen.


Fazit

Die rechtskonforme Nutzung der OpenAI API setzt ein tiefgehendes Verständnis der technischen Möglichkeiten und der rechtlichen Rahmenbedingungen voraus. Für Unternehmen und Entwickler ist es unerlässlich, Anwendungslösungen umzusetzen, die sowohl Effizienz als auch Datenschutzkonformität gewährleisten. Die in diesem Artikel vorgestellte Checkliste soll Ihnen dabei helfen, die wesentlichen Datenschutzaspekte bei der Implementierung der OpenAI API zu berücksichtigen.

KI und Datenschutz entwickeln sich ständig weiter. Technologische Neuerungen und gesetzliche Änderungen werden auch in Zukunft die Nutzung von KI-Technologien in Unternehmen prägen. Ein proaktiver, zukunftsorientierter Ansatz ist daher von großer Bedeutung.


Unterstützung durch Simpliant

Die Einbindung von KI-Technologien wie der OpenAI API birgt großes Potenzial, stellt Unternehmen aber auch vor bedeutende Datenschutzherausforderungen. Simpliant konzentriert sich darauf, Sie bei der datenschutzkonformen Integration von KI-Sprachmodellen wie GPT in Ihre Geschäftsabläufe zu unterstützen. Wenn Sie Unterstützung bei der Bewältigung der komplexen Datenschutzherausforderungen im KI-Bereich benötigen, kontaktieren Sie uns gerne über unser Kontaktformular.

Rechtsberatung

Simpliant Legal - Wittig, Bressner, Groß Rechtsanwälte Partnerschaftsgesellschaft mbB