GPT API: Ein Leitfaden zur datenschutzkonformen Integration

Generative KI, oder Generative Artificial Intelligence, bezeichnet einen Bereich der künstlichen Intelligenz, der darauf spezialisiert ist, neue Daten zu erstellen, die denen ähneln, auf denen sie trainiert wurde. Dies kann Text, Bilder, Sprache und vieles mehr umfassen. Im Gegensatz zu traditioneller KI, die darauf ausgerichtet ist, Daten zu analysieren und zu interpretieren, generiert die generative KI eigenständig Inhalte.

Maschinelles Lernen hingegen ist eine spezifische Anwendung der KI, die Systemen die Fähigkeit gibt, aus Daten zu lernen und sich zu verbessern, ohne explizit programmiert zu werden.

Die GPT (Generative Pre-trained Transformer) API von OpenAI ist ein Beispiel für fortgeschrittene generative KI. GPT basiert auf dem Konzept der Large Language Models (LLMs), die eine Untergruppe der maschinellen Lernmodelle darstellen. Diese Modelle werden auf riesigen Datensätzen von Text trainiert und können dadurch eine Vielzahl von sprachbasierten Aufgaben durchführen, von der Beantwortung von Fragen bis hin zur Erstellung von Texten in verschiedenen Stilen.

Im Kern unterscheidet sich GPT von traditioneller KI durch seinen generativen Ansatz. Während traditionelle KI-Systeme hauptsächlich auf die Analyse und Interpretation von Daten ausgerichtet sind, kann GPT eigenständig Inhalte erzeugen, die menschenähnlich wirken. Dies umfasst das Schreiben von Artikeln, das Erstellen von Gedichten oder das Generieren von Dialogen.

Ein Schlüsselelement von LLMs und insbesondere von GPT ist das Konzept des "pre-training". Vor dem Einsatz wird das Modell auf einer breiten Palette von Textdaten trainiert, wodurch es ein tiefes Verständnis der Sprache und ihrer Nuancen entwickelt. Nach diesem Vortraining kann GPT dann auf spezifische Aufgaben "feinabgestimmt" werden, indem es auf kleineren, spezialisierten Datensätzen trainiert wird. Dies ermöglicht eine hohe Flexibilität und Anpassungsfähigkeit an verschiedene Anwendungsbereiche.

Neben GPT existieren weitere wichtige Large Language Models, darunter BERT von Google, das für seine kontextbezogene Textanalyse bekannt ist, TransformerXL und XLNet, die auf fortgeschrittene Textverarbeitung spezialisiert sind, sowie RoBERTa und T5, die sich in speziellen Bereichen der natürlichen Sprachverarbeitung (NLP) hervortun. Claude von Anthropic unterscheidet sich durch seinen Fokus auf menschenzentrierte Interaktion und Sicherheit. Diese Modelle stellen unterschiedliche Herangehensweisen und Spezialisierungen im Bereich der generativen KI dar.

Die GPT API von OpenAI ist eine Schnittstelle, die Dritten Zugang zu den Fähigkeiten des GPT (Generative Pre-trained Transformer) Modells bietet. Diese API ermöglicht es Entwicklern und Unternehmen, die Fähigkeiten von GPT in ihren eigenen Anwendungen zu nutzen.

Im Gegensatz zur GPT API von OpenAI, die als eine umfassende Schnittstelle zu den vielfältigen Fähigkeiten des GPT-Modells dient, ist ChatGPT eine spezifische Anwendung dieses Modells, die hauptsächlich für Dialogzwecke optimiert ist. Dies lässt sich gut mit dem Unterschied zwischen dem Zugang zu einer ganzen Bibliothek und einem einzelnen Buch vergleichen:

1. ChatGPT: Ähnlich einem spezialisierten Buch, das Antworten auf eine breite Palette von Themen bietet, ist ChatGPT darauf ausgerichtet, Fragen zu beantworten und Gespräche zu führen. Es ist eine konkrete Implementierung des GPT-Modells, bei der der Schwerpunkt auf dialogorientierter Interaktion liegt.
2. GPT API: Die GPT API hingegen gleicht dem Zugang zu einer Bibliothek mit verschiedenen Büchern, wobei jedes Buch unterschiedliche Funktionen des GPT-Modells repräsentiert. Entwickler können die API nutzen, um auf diese Funktionen zuzugreifen und sie in ihre eigenen digitalen Produkte zu integrieren. Dadurch eröffnet sich die Möglichkeit, das GPT-Modell für eine Vielfalt von Anwendungen zu nutzen – von der Textgenerierung über automatische Übersetzungen bis hin zu spezialisierten Informationsanfragen.

Technisch gesehen bietet ChatGPT eine gezielte Interaktionsmöglichkeit mit dem GPT-Modell, während die GPT API einen breiteren Zugang zu den vielfältigen Fähigkeiten des Modells ermöglicht. Somit ist ChatGPT eine auf Konversationen fokussierte Instanz von GPT, während die GPT API ein vielseitiges Werkzeug für eine Reihe von Anwendungen ist, die die umfangreichen Möglichkeiten des GPT-Modells nutzen wollen.

Ein anschauliches Anwendungsbeispiel für die GPT API von OpenAI bietet ein fiktives Unternehmen, das einen Online-Shop für individuelle Holzarbeiten betreibt. Um den Kundenprozess auf seiner Webseite zu optimieren, hat dieses Unternehmen einen Chatbot eingeführt, der die GPT API nutzt.

Der Chatbot ist darauf programmiert, Kunden umfassend zu beraten. Er informiert über den Produktkatalog, gibt Auskunft zu Materialien und Maßen der Holzarbeiten, erklärt die Lieferzeiten und führt die Kunden durch den Bestellvorgang. So kann ein Kunde beispielsweise den Chatbot nach einem speziellen Holztisch fragen und erhält Informationen zu verschiedenen Designs, Größen und Holzarten. Auch Fragen zum Bestell- und Lieferprozess beantwortet der Chatbot präzise und nutzerfreundlich.

Wenn ein Kunde bereit ist, eine Bestellung aufzugeben, leitet der Chatbot diesen durch den Bestellprozess, nimmt die Bestellung auf und erfasst alle notwendigen Informationen. Sollte der Kunde weitere Fragen haben oder eine persönlichere Beratung wünschen, sammelt der Chatbot die Kontaktdaten und leitet diese für eine spätere Rückmeldung an das Unternehmen weiter.

Durch die Integration der GPT API ist der Chatbot in der Lage, komplexe Kundenanfragen zu verstehen und darauf zu reagieren, was zu einer verbesserten Effizienz im Verkaufsprozess führt.

Weitere exemplarische Anwendungsbeispiele sind:

1. Content-Erstellung und -Management
   Automatisierte Erstellung von Marketinginhalten, wie Blogbeiträgen oder Produktbeschreibungen
2. Persönliche Assistenten in Apps
   Intelligente Assistenten für Planungs- und Organisationsaufgaben in Produktivitäts-Apps
3. Sprachgesteuerte Anwendungen
   Entwicklung von Sprach-Interfaces für Software und IoT-Geräte
   Ermöglichung einer intuitiveren und zugänglicheren Nutzerinteraktion
4. Bildungssektor
   Erstellung personalisierter Lerninhalte und interaktiver Lernhilfen
5. Analyse und Datenaufbereitung
   Automatisierte Zusammenfassung und Interpretation bei der Datenanalyse und -präsentation

Diese Beispiele demonstrieren die Vielseitigkeit und Leistungsfähigkeit der GPT API, die es Unternehmen ermöglicht, kundenspezifische und intelligente Lösungen für verschiedenste Anwendungsbereiche zu entwickeln.

Beschreibung der Datenflüsse:

Bei der Nutzung der GPT API von OpenAI sind unterschiedliche Akteure beteiligt, und es werden dabei sowohl personenbezogene als auch nicht-personenbezogene Daten verarbeitet. Zu diesen Akteuren gehören – je nach Anwendungsszenario - Kunden, Unternehmen, Mitarbeiter und OpenAI, Inc., die Entwicklerin und Bereitstellerin der GPT API.

Im Kontext des Beispiels, in dem ein Kunde Bestelldaten (wie Name, Adresse, E-Mail und Inhalt der Bestellung) auf einer Webseite eingibt, lässt sich der Datenfluss von der Eingabe bis zur Verarbeitung durch OpenAI wie folgt darstellen:

Kunde:

Der Kunde gibt seine Bestelldaten - Name, Adresse, E-Mail und Details der Bestellung - in ein Eingabefeld auf der Webseite ein, das von einem Chatbot oder einem Bestellformular unterstützt wird, welches die GPT API nutzt. Die eingegebenen Informationen werden vom Interface der Webseite erfasst und verarbeitet.

Unternehmen/Mitarbeiter:

Das Unternehmen, das die Webseite betreibt, sammelt die vom Kunden eingegebenen Daten. Diese Daten können durch Mitarbeiter eingesehen werden, etwa zur Überprüfung der Bestellung oder zur Beantwortung von Kundenanfragen. Die gesammelten Bestelldaten werden automatisch an die GPT API weitergeleitet, falls der Prozess eine Verarbeitung oder Antwort durch die KI erfordert, wie z.B. eine Bestätigung der Bestellung oder zusätzliche Informationen.

OpenAI Ireland Ltd.:

OpenAI empfängt die Daten durch die API-Anfrage des Unternehmens. Die GPT API verarbeitet diese Anfrage, um die entsprechenden Antworten oder Aktionen zu generieren, wie z.B. die Erstellung einer Bestellbestätigung. OpenAI hat Zugriff auf die Daten, die durch API-Anfragen offengelegt werden, einschließlich möglicher personenbezogener Daten der Kunden, abhängig von der Art der Anfrage und den bereitgestellten Informationen.

Das Unternehmen ist dafür verantwortlich, dass die Datenerhebung und -verarbeitung der Kundendaten entsprechend den rechtlichen Anforderungen entspricht.

Aus datenschutzrechtlicher Sicht unterliegt das Unternehmen, das die Webseite betreibt und die GPT API von OpenAI nutzt, der Datenschutz-Grundverordnung (DSGVO). Die Handhabung der Kundendaten muss daher folgende Aspekte berücksichtigen:

Einhaltung der DSGVO durch das Unternehmen: Bei der Verarbeitung personenbezogener Kundendaten ist das Unternehmen an die DSGVO gebunden. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist die Vertragserfüllung gemäß Artikel 6 Abs.1 b) DSGVO. Dies umfasst die Sammlung und Verarbeitung von Kundendaten für Bestellungen, die über die Webseite aufgegeben werden.

Einsatz von Dienstleistern: Das Unternehmen kann für verschiedene Aufgaben Dienstleister einbeziehen, wie beispielsweise Webhosting-Unternehmen, Serverbetreiber oder Versanddienstleister. In solchen Fällen regelt Art. 28 DSGVO die Anforderungen an die Datenverarbeitung durch diese Dienstleister als Auftragsverarbeiter.

OpenAI als Auftragsverarbeiter: Bei Nutzung der GPT-API von OpenAI müssen Unternehmen sicherstellen, dass ein Auftragsverarbeitungsvertrag ("DPA) gemäß Art. 28 DSGVO vorliegt, die die Verantwortlichkeiten und Pflichten des Datenverarbeiters klar festlegen.

Die Firma stellt ihren Kunden einen Auftragsverarbeitungsvertrag (Data Processing Addendum „DPA“) bereit, der die Verarbeitung von Kundendaten durch OpenAI regelt. Dieser Zusatz ist Teil des Gesamtvertrags zwischen dem Kunden und OpenAI und bezieht sich auch auf die Nutzung von OpenAIs API und anderen Dienstleistungen für Unternehmen.

https://openai.com/policies/data-processing-addendum

Die wesentlichen Pflichten von OpenAI im Rahmen des Auftragsverarbeitungsvertrages nach Art. 28 DSGVO umfassen:

1. Vertragspartner: OpenAI Ireland Ltd. - für in der EU ansässige Nutzer agiert nun OpenAI Ireland Limited als Dienstleister, was eine überarbeitete Datenverarbeitungsvereinbarung (DPA) erforderlich machte (15.02.2024), um die Compliance mit der DSGVO für die Offenlegung und Verarbeitung personenbezogener Daten zu gewährleisten.

2. Keine Nutzung für eigene Zwecke: OpenAI handelt als Datenverarbeiter und verarbeitet Kundendaten ausschließlich gemäß den Anweisungen des Kunden.

3. Datenschutz und Sicherheit: OpenAI ist verpflichtet, angemessene Sicherheitsmaßnahmen zum Schutz der Daten zu implementieren und die Datenverarbeitung im Einklang mit den geltenden Datenschutzgesetzen durchzuführen.

4. Datenlöschung und Datenhoheit: OpenAI ist als Auftragsverarbeiter an die Weisungen der Kunden gebunden. Bei Vertragsende oder auf sonstige Weisung des Kunden muss OpenAI Inc. die offengelegten Daten löschen.

Zusammengefasst erfüllt der Datenfluss im besprochenen Anwendungsbeispiel grundlegend die datenschutzrechtlichen Anforderungen. Das Unternehmen, welches die Kundendaten für Bestellungen und Beratungen nutzt, ist gemäß des DPA grundsätzlich berechtigt, gegenüber OpenAI personenbezogene Daten offenzulegen.

Das oben gesagte ist aber keineswegs ein Freifahrtschein in Sachen Datenschutz. Um die GPT API rechtskonform zu integrieren sind folgende Haftungsfallen zu umschiffen:

Haftungsfalle 1: Sorgfältige Auswahl des Dienstleisters

Aufgrund von Artikel 28 DSGVO müssen Unternehmen sicherstellen, dass ihre Dienstleister, wie beispielsweise OpenAI, die Datenschutzanforderungen einhalten. Dies bedeutet, dass Unternehmen aktiv prüfen müssen, ob diese Dienstleister die Datenschutzanforderungen einhalten.

Die Umsetzung dieser Pflicht stellt Unternehmen in der Praxis allerdings vor praktisch unlösbare Herausforderungen, da es oft schwierig ist, die Einhaltung der Datenschutzanforderungen durch Dritte zu beurteilen. Solange allerdings keine behördlichen Verbotsverfügungen oder ähnliche Maßnahmen gegen diese Dienstleister erlassen wurden, kann von Unternehmen keine bessere Beurteilung der Datenschutzkonformität von OpenAI erwartet werden als von den Datenschutzbehörden mit ihren ungleich umfangreicheren Mitteln zur datenschutzrechtlichen Bewertung selbst. Im jetzigen Zeitpunkt kann aus Art. 28 Abs. 1 DSGVO keine umfangreiche Prüfpflicht für die nähere Betrachtung der Datenschutzkonformität von OpenAI abgeleitet werden.

Haftungsfalle 2: Einbindung im konkreten Fall und Risikobewertung

Obwohl eine Offenlegung von Daten, einschließlich personenbezogener Daten, gegenüber OpenAI grundsätzlich unter Erfüllung der Voraussetzungen eines Auftragsverarbeitungsvertrags möglich ist, darf daraus nicht pauschal geschlossen werden, dass eine solche in jedem Fall und jeder Konstellation zulässig wäre

Es ist vielmehr entscheidend, jedes spezifische Anwendungsszenario individuell zu betrachten. Es sollte zunächst evaluiert werden, welche Datenkategorien offengelegt werden und ob vertragliche oder gesetzliche Vorgaben einer Offenlegung gegenüber OpenAI entgegenstehen.

Unternehmen, die OpenAI GPT in ihre eigenen Anwendungen integrieren, müssen darüber hinaus sicherstellen, dass ihre eigenen Anwendungen im konkreten Fall datenschutzkonform sind. Die Planung der Integration der GPT API sollte daher bereits in den Entwicklungsprozess einbezogen werden („Privacy by Design“, Art. 25 DSGVO).

Ausschließlich auf die KI gestützte Bewerbungs- und Assessment-Center-Entscheidungen wären z.B. regelmäßig wegen Verstoßes gegen Art. 22 DSGVO datenschutzwidrig. Vor der Offenlegung von Daten gegenüber OpenAI muss daher genau evaluiert werden, welche Daten betroffen sind und inwieweit spezielle rechtliche Vorgaben bezüglich des Umgangs mit diesen Daten bestehen.

Haftungsfalle 3: Fehlende interne Datenschutzmaßnahmen (Verfahrensverzeichnis, Datenschutzerklärung, DSFA)

Bei der Integration der GPT-API von OpenAI in Unternehmensprozesse sind neben der direkten Offenlegung gegenüber OpenAI auch interne Datenschutzmaßnahmen von entscheidender Bedeutung. Eine wesentliche Komponente hierbei ist die sorgfältige Pflege des Verfahrensverzeichnisses, um sicherzustellen, dass die entsprechenden Prozesse korrekt und vollständig dokumentiert sind. Dies beinhaltet die genaue Beschreibung, wie die GPT-API in die Unternehmensabläufe eingebunden wird, einschließlich der Datenverarbeitungsschritte und der beteiligten Systeme.

Ein weiterer wichtiger Aspekt ist die Anpassung und Überprüfung der Datenschutzerklärungen. Es muss gewährleistet werden, dass die Nutzung und der Einsatz der KI, insbesondere der GPT-API, in der Datenschutzerklärung klar und verständlich dargestellt werden. Dies dient der Erfüllung des Transparenzgebots, das ein grundlegendes Prinzip der DSGVO ist.

Zusätzlich ist, abhängig vom Ergebnis einer initialen Risikobewertung, bei hohen Risiken für die Rechte und Freiheiten der betroffenen Personen die Durchführung einer Datenschutzfolgenabschätzung erforderlich. Diese dient dazu, die Datenschutzrisiken, die sich aus der Verwendung der GPT-API ergeben könnten, zu identifizieren und entsprechende Maßnahmen zur Risikominimierung festzulegen.

Die rechtskonforme Nutzung der OpenAI API setzt ein tiefgehendes Verständnis der technischen Möglichkeiten und der rechtlichen Rahmenbedingungen voraus. Für Unternehmen und Entwickler ist es unerlässlich, Anwendungslösungen umzusetzen, die sowohl Effizienz als auch Datenschutzkonformität gewährleisten. Die in diesem Artikel vorgestellte Checkliste soll Ihnen dabei helfen, die wesentlichen Datenschutzaspekte bei der Implementierung der OpenAI API zu berücksichtigen.

KI und Datenschutz entwickeln sich ständig weiter. Technologische Neuerungen und gesetzliche Änderungen werden auch in Zukunft die Nutzung von KI-Technologien in Unternehmen prägen. Ein proaktiver, zukunftsorientierter Ansatz ist daher von großer Bedeutung.

Die Einbindung von KI-Technologien wie der OpenAI API birgt großes Potenzial, stellt Unternehmen aber auch vor bedeutende Datenschutzherausforderungen. Simpliant konzentriert sich darauf, Sie bei der datenschutzkonformen Integration von KI-Sprachmodellen wie GPT in Ihre Geschäftsabläufe zu unterstützen. Wenn Sie Unterstützung bei der Bewältigung der komplexen Datenschutzherausforderungen im KI-Bereich benötigen, kontaktieren Sie uns gerne über unser Kontaktformular.