ChatGPT zieht seit seiner Veröffentlichung im November 2022 große Aufmerksamkeit auf sich. Dabei handelt es sich um einen Chatbot, welcher unter Einsatz von künstlicher Intelligenz mit Nutzern über textbasierte Nachrichten kommunizieren kann. Der Chatbot kann beispielsweise komplizierte Sachverhalte einfach erklären sowie Bewerbungen, E-Mails und sogar Computercodes schreiben. Kein Wunder also, dass der Chatbot bereits von mehr als 100 Millionen Menschen weltweit genutzt wurde.
Allerdings bringt der Chatbot mit seiner Innovation auch die Frage mit sich, welche Risiken mit seiner Nutzung einhergehen. Dazu gehören auch insbesondere datenschutzrechtliche Risiken, da ChatGPT zur eigenen Optimierung sowohl auf im Internet frei zugängliche Texte und Informationen zugreift als auch die Benutzereingaben von inzwischen mehr als 100 Millionen Privatpersonen und Unternehmen nutzt. Dies kann vor allem aus datenschutzrechtlicher Sicht ein großes Problem darstellen, da die Verarbeitung persönlicher sowie sensibler Informationen nicht ausgeschlossen werden kann.
Deutsche Aufsichtsbehörden prüfen ChatGPT
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder setzt sich seit April 2023 mit ChatGPT im Kontext des Datenschutzrechts auseinander. Geplant ist eine Prüfung des Datenschutzes bei ChatGPT, wobei die Komplexität der künstlichen Intelligenz die datenschutzrechtliche Bewertung vor Hürden stellt. Für die geplante Prüfung fehlen einige wichtige Informationen, wie z.B. Angaben über die Datenquellen, Informationen über die Algorithmen hinter der automatisierten Datenverarbeitung und eine Klarheit über die Datenübermittlung an Dritte aufgrund kommerzieller Interessen.
Die datenschutzrechtliche Prüfung stützt sich auf die Datenschutzgrundverordnung (DSGVO). Die Verarbeitung von personenbezogenen Daten in ChatGPT führt insbesondere zu folgenden datenschutzrechtlichen Herausforderungen:
Einwilligung in die Verarbeitung der Daten
Eine Datenverarbeitung ist nach der DSGVO nur bei Vorliegen einer Rechtsgrundlage gem. Art 6 Abs. 1 DSGVO rechtmäßig. Sofern keine andere Rechtsgrundlage greift, ist die Verarbeitung lediglich mit der Einwilligung der betroffenen Person möglich. Hierzu muss der Betroffene sowohl über die Datenverarbeitung als auch ihre Auswirkungen transparent informiert werden. Bei einer künstlichen Intelligenz wie ChatGPT handelt es sich allerdings um eine Blackbox, sodass es Unternehmen grundsätzlich nicht möglich ist, eine transparente Information hinsichtlich der Datenverarbeitung zu liefern. Folglich ist die Einholung einer wirksamen Einwilligung nahezu ausgeschlossen.
Schutz der Betroffenenrechte
Die DSGVO verlangt die Aufklärung der betroffenen Personen hinsichtlich ihrer datenschutzrechtlichen Rechte. Sofern Unternehmen also ChatGPT nutzen, müssen diese die Betroffenenrechte erfüllen. Das bedeutet, dass Unternehmen die Möglichkeit haben müssen, verarbeitete Daten z.B. auf Anfrage löschen zu können. Dies erscheint jedoch problematisch, da die in ChatGPT eingegebenen Daten in der Algorithmus-Blackbox verloren gehen.
Datenschutzrechtliche Rolle
Bei einer gewerblichen Nutzung von ChatGPT ist es möglich, den Chatbot in die eigenen internen Prozesse einzugliedern. Datenschutzrechtlich folgt daraus, dass der gewerbliche Nutzer für die Datenverarbeitung verantwortlich und OpenAI, der Entwickler des Chatbots, aufgrund des Zugriffs auf die Daten zum Auftragsverarbeiter wird. Demnach müsste grundsätzlich ein Auftragsverarbeitungsvertrag (AVV) i.S.d. Art. 28 DSGVO zwischen dem gewerblichen Nutzer und OpenAI abgeschlossen werden.
Der Abschluss eines solchen Vertrages erscheint allerdings ungeeignet, da OpenAI die eingegebenen Daten intern zu eigenen Trainingszwecken für den Chatbot verwendet. Folglich besteht vermutlich eine gemeinsame Verantwortlichkeit zwischen ChatGPT und dem gewerblichen Nutzer, welche den Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DSGVO erforderlich machen würde.
Datenweitergabe an Drittländer
Bei OpenAI handelt es sich um ein Unternehmen mit Sitz in den USA. Demnach werden die in den Chatbot eingegebenen personenbezogenen Daten an Server in einem Drittland, d.h. außerhalb der EU, übermittelt. Demzufolge wäre hier ein Fall der bekannten „Drittlandsproblematik“ gegeben.
DSGVO-konforme Nutzung von ChatGPT für Unternehmen möglich?
Es scheint derzeit nicht möglich, die Vorteile von ChatGPT zu nutzen und gleichzeitig DSGVO-konform zu bleiben – zumindest nicht, wenn aktiv personenbezogene Daten anderer Personen durch die ChatGPT-Nutzenden eingegeben werden oder ChatGPT per Schnittstelle in eigene Dienstleistungen/Produkte einbezogen wird.
Verraten Sie ChatGPT nicht zu viel über Ihr Unternehmen
Lassen wir den Datenschutz mal kurz außen vor und schauen rein praktisch auf ChatGPT.
Der faszinierende Chatbot wird gern von Softwareentwicklern als Hilfsmittel verwendet – was grundsätzlich auch Sinn macht.
Allerdings kann ChatGPT somit auch Rückschlüsse auf den Quellcode und mögliche Sicherheitslücken einer Software/App schließen.
Böswillige Hacker könnten sich diesen Umstand zu Nutzen machen und sich von ChatGPT wertvolle Informationen zur Analyse eines Angriffsziels mitteilen lassen.
Mittlerweile wurde ChatGPT bzw. OpenAI bereits mehrfach gehackt.
- ChatGPT durch Eingabe bestimmter Prompts (Text, der eingeben wird) „gejailbreakt“ (Umgehung der Vorgaben von ChatGPT)
https://www.giga.de/artikel/chatgpt-jailbreak-dan-freischalten-und-alles-fragen-das-geht/ - 100.000 ChatGPT-Konten gehackt
https://t3n.de/news/cybersicherheit-chatgpt-gehackt-authentifizierung-1559984/
Empfehlung:
Setzen Sie sich mit ChatGPT auseinander – vermutlich wird es ohnehin schon von einigen Mitarbeitenden im Rahmen ihrer beruflichen Tätigkeit genutzt. Sollte ein Bedarf zum Informationsschutz identifiziert werden bzw. sinnvoll sein, entwickeln Sie hierzu ChatGPT Guidelines – analog zu Social Media.
Benötigen Sie menschliche Unterstützung zu ChatGPT oder anderen datenschutzrelevanten Themen, kommen Sie gern auf uns zu.
Autoren:
Mariusz Bucki, Manager / Head of Data Protection Services, Creditreform Compliance Services GmbH
Okan Karagöz, Consultant Data Protection Services, Creditreform Compliance Services GmbH