Nachdem die italienische Datenschutzbehörde eine zeitweise Sperrung des Dienstes ChatGPT für italienische Nutzer erlassen hat, sind nun auch andere Datenschutzbehörden aktiv geworden. Sowohl das gemeinsame Gremium der deutschen Datenschutzbehörden (Datenschutzkonferenz), als auch der Europäische Datenschutzausschuss haben kürzlich eine dezidierte „Taskforce“ zur näheren Prüfung der Thematik aufgestellt.
Angesichts der aufsichtsbehördlichen Aktivitäten herrscht derzeit allgemein Verunsicherung im Hinblick auf die Datenschutzkonformität von ChatGPT.
In dem nachfolgenden Beitrag wollen wir hier mehr Klarheit schaffen und die verschiedenen Nutzungsszenarien, sowie die daraus folgenden datenschutzrechtlichen Bewertungen näher beleuchten.
Was ist der Prüfgegenstand?
Bevor auf die Frage eingegangen werden kann, ob ChatGPT „DSGVO-compliant“ ist, muss zunächst der Prüfgegenstand definiert werden.
Bei der Bewertung der DSGVO-compliance von XY ist es wichtig, zunächst den Gegenstand der Prüfung zu definieren. Dies kann eine (1) Organisation, (2) ein Produkt, (3) die Nutzung dieses Produkts sein.
Denn datenschutzkonform oder nicht-konform können sowohl Unternehmen (OpenAI LLC) als auch die Produkte von Unternehmen (Entwicklung von ChatGPT und Erstellung des Large Language Model („LLM“), sowie die Nutzung eben dieser Produkte durch Dritte sein (Nutzung von ChatGPT durch Dritte).
Der nachfolgende Beitrag beleuchtet Punkt 3, also die Frage, wie der Dienst datenschutzkonform genutzt werden kann (Datenschutzkonformität der Nutzung von ChatGPT).
Nutzung von ChatGPT für (ausschließlich) persönliche Zwecke (Fallbeispiel 1)
Anwendungsszenario:
Ein Nutzer möchte seine persönliche Kontaktliste, die er bislang in einer Excel-Liste pflegt, durch den ChatGPT-Chatbot anreichern bzw. organisieren.
Frage:
Verstößt die Nutzung von ChatGPT gegen die DSGVO, wenn ich es für persönliche Zwecke benutze und dabei personenbezogene Daten eingebe?
Antwort:
Nein, eine solche Nutzung verstößt nicht gegen die DSGVO. Denn diese kommt bei Datenverarbeitungen für rein persönliche Zwecke nicht zur Anwendung.
Begründung:
Persönliche Nutzung – DSGVO nicht anwendbar
Soweit eine Verarbeitung (auch von personenbezogenen Daten) ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt, liegt dies außerhalb des Anwendungsbereiches der DSGVO (Art. 2 Abs. 2 c) DSGVO). Nach Erwägungsgrund 18 DSGVO liegen persönliche oder familiäre Tätigkeiten vor, „wenn sie ohne (jeden) Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird.“ Typisch privat sind z.B. Daten zur eigenen Freizeitgestaltung, zur Unterhaltung und für Hobbys.
Geschäftliche oder gemischt persönlich-geschäftliche Nutzung – DSGVO anwendbar
Demgegenüber ist die geschäftliche Nutzung jede wirtschaftliche Tätigkeit, unabhängig davon, ob hierfür Geld fließt. Hierunter fallen also Werbemaßnahmen, Austausch von Daten gegen Dienstleistungen, aber auch vorbereitende Tätigkeiten, z.B. die Erstellung eines ersten Textentwurfes für einen Text, der im beruflichen Kontext verwendet werden soll.
Bei gemischt persönlicher und geschäftlicher Nutzung ist die DSGVO ebenfalls anwendbar, selbst wenn die persönliche Nutzung überwiegt. Denn die Ausnahmen vom Anwendungsbereich der DSGVO sind grundsätzlich eng auszulegen.
Geschäftliche Nutzung von ChatGPT Webinterface (Fallbeispiel 2)
Anwendungsszenario:
Das Unternehmen X-GmbH möchte seine Kundenlisten samt Adressdaten durch ChatGPT bearbeiten. Die Kundendaten sollen per Eingabe („Prompt“) in das Webinterface eingegeben werden.
Frage:
Verstößt Unternehmen X damit gegen die DSGVO?
Antwort:
Ja - das Unternehmen X-GmbH verstößt gegen die DSGVO, da es an ein Drittunternehmen (OpenAI LLC) personenbezogene Daten übermittelt, ohne dass hierfür eine Rechtsgrundlage besteht.
Begründung:
Es liegt hier eindeutig eine geschäftliche Nutzung vor, da mit der Nutzung des Dienstes wirtschaftliche Zwecke verfolgt werden. Da die personenbezogenen Daten (Kundendaten) an ein Drittunternehmen weitergeleitet werden, liegt hierin eine Verarbeitung von personenbezogenen Daten im Anwendungsbereich der DSGVO.
Die Übermittlung bedarf einer Rechtsgrundlage. In den meisten Fällen werden Unternehmen nicht von allen Kunden eine Einwilligung in die Übermittlung an OpenAI eingeholt haben, sodass eine Einwilligung als Rechtsgrundlage häufig ausscheiden wird.
Auch die Begründung des überwiegenden berechtigten Interesses dürfte schwierig sein, da die Risiken für Betroffene im Hinblick auf die Datenverarbeitung durch OpenAI häufig schwer abschätzbar sind. Ausnahmen könnten sich aber ergeben, wenn z.B. Schutzmaßnahmen wie Pseudonymisierung getroffen werden und Risiken für Betroffene mit hinreichender Sicherheit ausgeschlossen werden können.
Da nur in Sonderfällen eine Einwilligung oder berechtigtes Interesse vorliegen dürfte, käme lediglich eine Auftragsverarbeitung (Art. 28 DSGVO) als Legitimierung der Übermittlung in Betracht.
Ein Auftragsverarbeitungsvertrag wird von OpenAI für diese Nutzung aber nicht bereitgestellt.
OpenAI schreibt in den Terms of Use (Stand 14.03.2023) zum Datenschutz:
Das verlinkte Formular führt zu einer mit „[Sales] Data Processing Addendum External“ bezeichneten Unterseite, auf der man elektronisch ein Data Processing Agreement nach Art. 28 DSGVO mit der OpenAI LLC abschließen kann (hierin wird auf die EU-Standard-Contractual-Clauses verwiesen).
Die interessante Information findet sich allerdings in der Textbeschreibung unter der Überschrift:
OpenAI LLC trifft hier die Aussage, dass der bereitgestellte Auftragsverarbeitungsvertrag nur für ihre „Business Service Offerings“ gelten solle (also die API-Nutzer), wozu aber ausdrücklich nicht ChatGPT (Webinterface) zählt.
Es kann also festgehalten werden, dass OpenAI keinen Auftragsverarbeitungsvertrag für die Nutzung der Webkonsole ChatGPT zur Verfügung stellt. Dieser wird lediglich für die API-nutzenden Geschäftskunden bereitgestellt.
Wenngleich das Unternehmen die geschäftliche Nutzung des Dienstes in seinen AGB nicht verbietet, sieht es dennoch - zumindest implizit - in ChatGPT einen Consumer-Service, wie sich aus der Beschreibung zum „[Sales] Data Processing Addendum External“ ergibt.
Mangels Auftragsverarbeitungsvertrag bei der Nutzung des Webinterfaces, kommt eine Datenübermittlung auf der Grundlage eines Auftragsverarbeitungsvertrages nach Art. 28 DSGVO nicht in Betracht.
Demnach wird es Unternehmen im Regelfall datenschutzrechtlich nicht erlaubt sein, durch Prompts im Webinterface von ChatGPT personenbezogene Daten an OpenAI zu übermitteln.
Geschäftliche Nutzung der ChatGPT-API (Fallbeispiel 3)
Anwendungsszenario:
Ein Unternehmen möchte seinen Kundensupport effektiver gestalten. Auf der Webseite erstellt es ein eigenes Kunden-Chat-Interface, das sowohl auf die Bestellhistorie der Kunden in einer internen Datenbank als auch auf die ChatGPT-API zugreift, um hieraus passende Antworten für Kundenanfragen zu generieren. Hierfür werden die Kundendaten über die API an OpenAI übertragen.
Frage:
Ist die Einbindung der ChatGPT-API und die Übertragung von Kundendaten an ChatGPT in diesem Zuge datenschutzrechtlich zulässig?
Antwort:
Ja, die Übertragung von Kundendaten kann auf Art. 28 DSGVO in Verbindung mit dementsprechend abgeschlossenen Auftragsverarbeitungsvertrag gestützt werden. Da eine Datenübermittlung in die USA stattfindet, muss allerdings zusätzlich ein sogenanntes Transfer Impact Assessment durchgeführt werden. Soweit dieses zu einem positiven Ergebnis kommt, dürfen die Kundendaten an OpenAI übermittelt werden.
Begründung:
Im Gegensatz zu den Nutzern des Webinterfaces, können die API-Nutzer einen Auftragsverarbeitungsvertrag mit OpenAI abschließen. Dessen Wirksamkeit vorausgesetzt, können Daten auf dieser Grundlage also auch ohne Einwilligung oder berechtigtes Interesse an OpenAI übermittelt werden.
Hier muss allerdings beachtet werden, dass tatsächlich nur dann eine Auftragsverarbeitung vorliegt, wenn die Daten ausschließlich auf Weisung und für Zwecke des Auftraggebers verarbeitet werden.
Ausweislich der Terms of Use kann davon ausgegangen werden, dass die Daten ausschließlich für fremde Zwecke verarbeitet werden, sodass eine Auftragsverarbeitung vorliegen dürfte (übersetzt):
Ergänzende Anforderung – Transfer Impact Assessment (Datenübermittlung in die USA):
Ergänzend zum Abschluss des Auftragsverarbeitungsvertrages muss das Unternehmen allerdings ein sogenanntes Transfer Impact Assessment („TIA“) durchführen.
Dies ist eine Risikoeinschätzung, bei der die Risiken durch die Datenübermittlung ein unsicheres Drittland (die USA) bewertet werden. Nur wenn im Rahmen dieser Risikobewertung ein positives Ergebnis erzielt wird, d. h. begründet werden kann, dass keine substanziellen Datenschutzrisiken für die Betroffenen hieraus entstehen, ist die Datenübermittlung datenschutzrechtlich zulässig.
Ergebnis und Handlungsempfehlungen
Keine Eingabe von personenbezogenen Daten im Webinterface
Mangels Auftragsverarbeitungsvertrag darf keine Übertragung von personenbezogenen Daten unter Nutzung des ChatGPT-Webinterfaces durch Unternehmen erfolgen.
Eine Nutzung darf ausnahmsweise erfolgen, wenn eine Einwilligung der Betroffenen vorliegt (Art. 6 Abs. 1 a) DSGVO) oder ein berechtigtes Interesse nach (Art. 6 Abs. 1 f) DSGVO) gegeben ist.
Soweit Unternehmen das Webinterface nutzen, sollten sie sicherstellen, dass keine personenbezogenen Daten (z.B. Kundendaten oder auch Mitarbeiterdaten) per Prompt an OpenAI übermittelt werden.
Keine Eingabe von Betriebsgeheimnissen (GeschGehG)
Es sollte darüber hinaus untersagt werden, dass Daten, die dem Geschäftsgeheimnisgesetz unterliegen, in die Webkonsole von ChatGPT eingegeben werden, und zwar unabhängig davon, ob diese Daten Personenbezug haben.
Dies gilt insbesondere für technische Daten und Softwarecode, sowie für alle Daten, die einen wirtschaftlichen Wert haben und vertraulich zu handhaben sind. Soweit dies nicht unterbunden wird, droht ein Szenario ähnlich wie bei Samsung, das kürzlich von einer Preisgabe vertraulicher Unternehmensinformationen über ChatGPT betroffen war.
„ChatGPT Acceptable Use Policy“
Soweit die Nutzung des Dienstes im Unternehmen erlaubt ist, trägt das Unternehmen Verantwortung für den datenschutzkonformen Umgang mit ChatGPT.
Bei der erlaubten Nutzung von ChatGPT innerhalb eines Unternehmens, sollten Unternehmen daher die Eingabe von personenbezogenen Daten grundsätzlich untersagen. Dies kann beispielsweise in einer betrieblichen Weisung, im Rahmen einer „Acceptable Use Policy“ erfolgen.
Soweit es ein Unternehmen keine internen Vorkehrungen trifft, um eine datenschutzwidrige Eingabe von personenbezogenen Daten zu unterbinden, wird der Datenschutzverstoß dem Unternehmen in der Regel zugerechnet und kann zu Bußgeldern und Schadensersatzklagen der Betroffenen führen.
Unter Downloads finden Sie ein kostenloses Muster für eine Nutzungsbedingung, die Sie auf Ihre betrieblichen Bedürfnisse anpassen und frei verwenden können.
Weitere Maßnahmen erforderlich bei API-Einbindung
Soweit eine Verarbeitung von personenbezogenen Daten über die API-Einbindung erfolgen soll, müssen zusätzlich folgende Maßnahmen ergriffen werden:
- Abschluss des bereitgestellten Auftragsverarbeitungsvertrages (Art. 28 DSGVO)
- Durchführung eines Transfer Impact Assessments (Art. 44 ff. DSGVO und Vorgaben des EuGH im „Schrems II Urteil“)
- Information über die Datenverarbeitung durch ChatGPT gegenüber Betroffenen in eigener Datenschutzerklärung (bloßer Verweis auf die Datenschutzerklärung von ChatGPT nicht ausreichend (Art. 13, 14 DSGVO)
- Durchführung einer Datenschutz-Folgenabschätzung, soweit erforderlich (Art. 35 DSGVO)
- Dokumentation der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
Fazit
Eine nähere Beschäftigung mit dem Thema zeigt, dass die Nutzung des Webinterfaces von ChatGPT zur Verarbeitung personenbezogener Daten regelmäßig datenschutzrechtlich unzulässig sein wird.
Unternehmen sollten daher Vorkehrungen treffen, um eine datenschutzwidrige Nutzung des Dienstes zu verhindern, um nicht in die Gefahr zu geraten, selbst gegen das Datenschutzrecht zu verstoßen. Zu empfehlen ist daher ein Verbot der Eingabe von personenbezogenen Daten in den Eingaben (Prompts). Etwas anderes gilt in der Regel nur bei ausdrücklicher Einwilligung der Kunden hierzu.
Demgegenüber ist die Nutzung der API datenschutzrechtlich besser abzubilden. Allerdings sind auch hier einige Datenschutzmaßnahmen für eine datenschutzkonforme Einbindung zu ergreifen.
Angesichts der Bedeutung der Thematik ist es zu begrüßen, dass eine einheitliche Linie der Aufsichtsbehörden zum Umgang mit dem Thema auf europäischer Ebene angestoßen wird. Jedenfalls wäre es schwer zu begründen, warum der Dienst z.B. für italienische Nutzer nicht erlaubt, für deutsche Nutzer aber erlaubt sein soll. Denn der datenschutzrechtliche Prüfmaßstab ist im Ausgangspunkt für alle Mitgliedstaaten derselbe - die DSGVO. Diese soll innerhalb der Europäischen Union grundsätzlich einheitlich ausgelegt werden.
Vor dem Hintergrund der aufgezeigten datenschutzrechtlichen Fallstricke schreibt das Magazin Politico zutreffend: „ChatGPT is entering a world of regulatory pain in Europe“.
Trotz der regulatorischen Unsicherheiten sollte nicht vorschnell von einer Nutzung des Dienstes abgesehen werden. Denn Unternehmen, die KI eingeführt haben, berichten von deutlichen Kostensenkungen und Umsatzsteigerungen. „Companies that have adopted AI continue to pull ahead“.
Wenn eine Nutzung von ChatGPT im jeweiligen Geschäftsfeld sinnvoll ist, können bestehende Datenschutzrisiken in der Regel durch eine datenschutzkonforme Gestaltung auf ein Minimum reduziert werden.
Simpliant Muster - Nutzungsbedingungen ChatGPT - 1.2
Diese Vorlage dient dazu, die Nutzung von ChatGPT innerhalb eines Unternehmens zu regeln.