Datenschutz und ChatGPT

16. November 2023 - Minuten Lesezeit

Sowohl im beruflichen als auch im privaten Umfeld ist es für uns alle inzwischen deutlich spürbar: Die Entwicklung der Künstlichen Intelligenz (KI) schreitet rasant voran. Ob beim Thema Suchmaschinen, Gesichtserkennung, virtuelle Assistenz oder Chatbot. Aus einer Vielzahl von Bereichen sind KI-Systeme derzeit nicht mehr wegzudenken.

So u. a. auch der Chatbot mit dem Namen ChatGPT, der seit einigen Monaten regelmäßig in den Medien präsent ist. Doch was ist ChatGPT eigentlich genau, wie funktioniert es und was bedeutet der Einsatz derartiger KI-Tools für den Schutz unserer personenbezogenen Daten? Mehr dazu im Folgenden.

Was ist ChatGPT und welche Anwendungsmöglichkeiten gibt es?

Der Chatbot ChatGPT ist ein auf künstlicher Intelligenz basiertes Modell für Sprach- und Textverarbeitung, das von dem US-amerikanischen Unternehmen OpenAI Inc. entwickelt wurde.

"GPT" bedeutet "Generative Pre-trained Transformer" (z. Dt. Generativer vortrainierter Transformator). Das KI-Tool besteht dabei aus sogenannten künstlichen neuronalen Netzen (KNN) und wird durch maschinelles Lernen trainiert, indem es eine große Bandbreite aus Text im Internet durchläuft. Es ist hierbei wichtig zu bedenken, dass ChatGPT nicht wirklich versteht oder reflektiert, was es erzeugt. Es erkennt Muster bei der Eingabe, welche es während seiner Programmierung erlernt hat, um so möglichst stimmige Antworten generieren zu können.

Datenschutz-und-ChatGPT

Anwendungsmöglichkeiten von ChatGPT

KI-Systeme wie GPT-Modelle erlauben seinen Anwendern, menschenähnliche Texte und Inhalte (Bilder, Musik etc.) zu erstellen und Fragen dialogorientiert zu beantworten. Zahlreiche Unternehmen aller Branchen sowie Bildungseinrichtungen verwenden inzwischen GPT-Modelle und generative KI für F&A-Bots, Textzusammenfassungen, Inhaltsgenerierung und Suche.

Weitere Anwendungsbereiche können etwa sein:

  • Inhalte für soziale Medien kreieren (Marketing-Skripte, Videos, Memes ...)
  • Kreative Texte oder Blogartikel erstellen
  • Text in verschiedene Stile konvertieren (Professionell, humorvoll, einfach erklärt ...)
  • Computercode schreiben und lernen
  • Datenanalyse (Datenberichte, Diagramme, Tabellen ...)
  • Lernmaterialien produzieren (Quizfragen, Tutorials ...)
  • Interaktive Sprachassistenten erstellen (z.B. im Kundensupportbereich)
  • uvm.

Welche Daten sammelt ChatGPT?

Hinsichtlich des Datenschutzaspektes ist es zunächst von Bedeutung, sich bewusst zu machen, welche Daten ChatGPT im Detail von seinen Nutzern verarbeitet.

Laut der Datenschutzerklärung (DSE) von ChatGPT stammen die gesammelten Daten aus verschiedenen Quellen: 

  • Daten des Nutzerkontos, die bei der Anmeldung oder beim Abschluss eines Premium-Abonnements angegeben werden (z.B. Name, Kontaktdaten, Kontoinformationen und Zahlungsdaten).
  • Geräte- oder Browser-spezifische Identifikatoren, wie etwa die IP-Adresse, der geografische Standort und Nutzungsstatistiken.
  • Informationen, die direkt im Chatbot eingegeben werden, wie Chat-Eingaben, hochgeladene Dokumente oder das übermittelte Feedback.

OpenAI teilt diese erfassten Informationen mit verschiedenen Partnern, darunter Dienstleistungsanbieter, verbundene Unternehmen und Rechtspersönlichkeiten, sowie mit KI-Trainern, welche die User-Chats analysieren. Die gesammelten Daten werden allerdings gem. DSE lediglich so lange aufbewahrt, wie es für die Bereitstellung des Dienstes bzw. für andere plausible Geschäftszwecke erforderlich ist.

ChatGPT und Datenschutz: Welche Risiken gibt es?

Es gibt jedoch ein Compliance-Problem, das sich nun hieraus für Datenschützer ergibt: ChatGPT kann sensible Daten, wie etwa diverse persönliche oder finanzielle Informationen, erfassen. Wie bei allen Technologien, die personenbezogene Daten archivieren, sind auch hier Datenschutzrisiken und ggf. Sicherheitslücken vorhanden.

Zur Verbesserung seiner Leistungsfähigkeit zieht ChatGPT eine Vielzahl frei zugänglicher Texte und Informationen aus dem Internet heran. Die KI wird zudem durch Benutzereingaben von inzwischen über 100 Millionen Privatnutzern und Unternehmen trainiert. Es ist daher sehr wahrscheinlich, dass dabei ebenso persönliche und sensible Daten verarbeitet werden.

Potenzielle Risiken aus Datenschützer-Sicht können folglich sein:

Datenkriminalität

ChatGPT sammelt und analysiert umfangreiche Daten, um seine Fähigkeiten zu verbessern. In diesen Daten können persönliche Informationen wie Name, Alter, Standort und Interessen enthalten sein. Bei unautorisiertem Zugriff könnten diese Informationen missbräuchlich für illegale Zwecke wie Identitätsdiebstahl oder Betrug genutzt werden.

Mangelnde Nutzerkontrolle

Die Anwender haben nicht gänzlich die Kontrolle darüber, welche Daten von ChatGPT gesammelt und inwieweit sie verwendet werden. Einige Organisationen könnten Chatverläufe nutzen, um personalisierte Werbung zu schalten oder Verhaltensmuster zu analysieren, was die Privatsphäre der Nutzer beeinträchtigen kann.

Sicherheitsrisiken

Insbesondere bei sensiblen Anwendungen, wie Finanztransaktionen oder dem Austausch von medizinischen Informationen, besteht das Risiko von Sicherheitsverletzungen. Ein unbefugter Zugriff auf Ihr Chatprotokoll könnte zu einem gefährlichen Verlust vertraulicher Informationen für Sie oder Ihr Unternehmen führen.

Fehlendes menschliches Urteilsvermögen

ChatGPT kann ausschließlich auf Grundlage der ihm vorliegenden Daten antworten. Ihm fehlt die Fähigkeit zu moralischen oder ethischen Entscheidungen, wie sie Menschen treffen können. Dadurch besteht die Gefahr, dass ChatGPT unangemessene Antworten gibt oder sogar potenziell gefährliche Empfehlungen ausspricht.

Die Datenschutzgrundverordnung (DSGVO) ist generell nicht zu beachten, solange keine personenbezogenen Daten verarbeitet werden, dennoch sollte jeder Nutzer die von ChatGPT erstellten Texte dahin gehend prüfen, ob sie persönliche Informationen Dritter beinhalten. Sollte dies der Fall sein, ist es ratsam, diese Texte nicht zu verwenden, insbesondere wenn die Herkunft der personenbezogenen Daten unbekannt ist.

Seien Sie aus diesem Grund besonders vorsichtig mit den folgenden Arten von Daten:

  • Informationen, die zur persönlichen Identifizierung dienen können: wie Namen, Adressen oder sonstige Details, die Sie oder Dritte identifizierbar machen.
  • Gesundheitsbezogene Informationen: etwa Fragen zu Krankheiten oder Behandlungsmöglichkeiten.
  • Persönliche Unterlagen oder Dokumente, die sensible Daten beinhalten.

Diese Prinzipien gelten ebenso, wenn Sie ChatGPT geschäftlich einsetzen: Vermeiden Sie die Eingabe vertraulicher Sachverhalte und das Hochladen von Präsentationen, Berichten oder Dokumenten, die Informationen über Ihren Arbeitgeber, Kollegen oder Kunden enthalten. OpenAI weist in seinen FAQ darauf hin, dass an einem speziellen ChatGPT-Business-Abo für professionelle Nutzer gearbeitet wird, die einen erhöhten Bedarf an Datenkontrolle haben.

Datenschutz aktiv gestalten:

Handeln Sie jetzt, um die Datenschutzrisiken Ihres Unternehmens zu minimieren

Sie benötigen eine zuverlässige Unterstützung mit umfangreicher Expertise im Datenschutzbereich? Lassen Sie uns gemeinsam sicherstellen, dass Ihr Unternehmen alle notwendigen Anforderungen erfüllt.

Kontaktieren Sie uns gerne für maßgeschneiderte Lösungen und Beratung in diversen Themen rund um das Thema Datenschutz.

Datenpannen und behördliche Verbote von ChatGPT

Im Frühjahr 2023 geriet ChatGPT erstmals aufgrund einer Datenpanne ins Visier der Medien. OpenAI-CEO Sam Altman gab am 22. März 2023 via Twitter preis, dass persönliche und sensible Informationen durch einen Softwarefehler versehentlich in die Chatverläufe Dritter eingespeist wurden, was zu berechtigter Sorge unter den Nutzern führte.

Dieser Vorfall warf ernsthafte Fragen hinsichtlich der Datensicherheit und des Datenschutzes auf. OpenAI hat daraufhin eine interne Untersuchung eingeleitet und versprach, die Sicherheitsprotokolle zu überarbeiten.

Zudem kündigte OpenAI zusätzliche Maßnahmen an, um die Datenintegrität und -sicherheit zu verbessern. Darunter fällt auch die Entwicklung eines speziellen Geschäftsabonnements für "professionelle" Nutzer wie Unternehmen, die mehr Kontrolle über ihre Daten wünschen.

Warum hat Italien ChatGPT (temporär) verboten?

Nachdem China, Iran, Nordkorea und Russland den OpenAI-Chatbot bereits blockiert hatten, zog Italien am 30. März 2023 als erstes europäisches Land mit einem Verbot nach.

Das Verbot folgte lt. der italienischen Datenschutzbehörde zum einen aufgrund der Datenpanne im März, bei der in Italien Kommunikations- und Zahlungsdaten betroffen waren.

Zum anderen kritisierte die Behörde, dass OpenAI Inc. unklare Informationen über die Datenverarbeitung bereitstelle. Auch fehle eine rechtliche Grundlage für die Sammlung und Verarbeitung von Nutzerdaten für Training der Algorithmen. Die Behörde stellte zudem Unstimmigkeiten bei den von ChatGPT bereitgestellten Informationen fest. Weiterhin mangele es an einer Altersüberprüfung für Nutzer unter 13 Jahren, was als unzureichender Jugendschutz betrachtet würde.

Warum-hat-Italien-ChatGPT-temporaer-verboten

Zum anderen kritisierte die Behörde, dass OpenAI Inc. unklare Informationen über die Datenverarbeitung bereitstelle. Auch fehle eine rechtliche Grundlage für die Sammlung und Verarbeitung von Nutzerdaten für Training der Algorithmen. Die Behörde stellte zudem Unstimmigkeiten bei den von ChatGPT bereitgestellten Informationen fest. Weiterhin mangele es an einer Altersüberprüfung für Nutzer unter 13 Jahren, was als unzureichender Jugendschutz betrachtet würde.

Seit Ende April können die italienischen Burger ChatGPT allerdings wieder nutzen, da OpenAI der italienischen Datenschutzbehörde seine Pläne für verbesserte Datenschutzmaßnahmen vorgelegt hat. "OpenAI stellt den Dienst in Italien mit verbesserter Transparenz und verbesserten Rechten für europäische Benutzer wieder her. Laut der Behörde habe OpenAI nun verschiedene Voraussetzungen erfüllt, die notwendig waren, um die vorübergehende Sperre des Textgenerators aufzuheben.

Maßnahmen zum Schutz der personenbezogenen Daten

Um die zuvor genannten Risiken von ChatGPT aus Datenschutzsicht zu minimieren, gibt es einige Maßnahmen, die Unternehmen in Zusammenarbeit mit ihren Datenschutzbeauftragten ergreifen können:

  • Datenminimierung: Unternehmen sollten sicherstellen, dass sie nur die für den Betrieb von ChatGPT erforderlichen Daten sammeln und diese nicht länger als notwendig aufbewahren.
  • Einwilligung: Klare und eindeutige Einwilligungen von betroffenen Personen sollten eingeholt werden, bevor personenbezogene Daten gesammelt oder verarbeitet werden. Eine Einwilligung muss stets spezifisch, freiwillig, informierend und unmissverständlich sein.
  • Transparenz: Betroffenen Personen sollten transparente Informationen über den Einsatz von ChatGPT bereitgestellt werden, einschließlich der Art der gesammelten Daten, der Zwecke der Verarbeitung und der Dauer der Aufbewahrung.
  • Datenschutzfolgeabschätzung: Unternehmen sollten eine Datenschutzfolgeabschätzung vornehmen, um die potenziellen Risiken bei der Nutzung von ChatGPT zu analysieren und darauf basierend geeignete Schritte zur Risikoreduzierung zu unternehmen.
  • Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen, einschließlich Datenverschlüsselung, Zugangskontrollen und regelmäßiger Sicherheitsüberprüfungen, sollten ergriffen werden.
  • Rechte der betroffenen Personen: Unternehmen sollten sicherstellen, dass betroffenen Personen die in der DSGVO festgelegten Rechte gewährt werden, einschließlich des Rechts auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten.
  • Schulung und Sensibilisierung: Mitarbeiter sollten über Datenschutzbestimmungen der DSGVO und spezifische Anforderungen für den Einsatz von ChatGPT informiert sein und dementsprechend geschult werden.

Für in Deutschland bzw. in Europa ansässige Unternehmen ist allgemein zu beachten, dass sie möglicherweise zusätzliche Schritte bei der Nutzung von ChatGPT unternehmen müssen, um sicherzustellen, dass sie im Einklang mit den Datenschutzbestimmungen der DSGVO handeln.

exkulpa Akademie

 eLearning-Angebote für Mitarbeiter & Entscheidungsträger

Ihre Mitarbeiter sollen datenschutzkonform geschult werden? Wir haben die Lösung! Unsere exkulpa Akademie bietet rechtsaktuelle Datenschutzschulungen für Ihr Team.

Auftragsverarbeitungsvertrag mit OpenAI Inc.

OpenAI Inc. bietet darüber hinaus einen Auftragsverarbeitungsvertrag (AV-Vertrag) an, der eigenen Angaben zufolge den Anforderungen der DSGVO entspricht. Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Kontext der Nutzung von OpenAI-Plattformen und -Dienstleistungen, einschließlich der Verwendung von ChatGPT.

Im AV-Vertrag von OpenAI Inc. sind die essenziellen Bestandteile gemäß Artikel 28 der Datenschutzgrund-verordnung enthalten. Dieser Vertrag stellt sicher, dass die Verarbeitung personenbezogener Daten durch OpenAI Inc. in Übereinstimmung mit den Datenschutzvorschriften und Kundenanforderungen erfolgt. Kunden können den AV-Vertrag von OpenAI Inc. akzeptieren, indem sie während des Registrierungsprozesses auf der OpenAI-Plattform die entsprechende Option wählen oder den Vertrag separat mit OpenAI Inc. verhandeln.

Es ist jedoch wichtig zu betonen, dass die Nutzung von ChatGPT und anderer OpenAI-Technologien zusätzlich zu den Aspekten des AV-Vertrags auch weitere rechtliche und ethische Überlegungen mit sich bringt. Daher ist es ratsam, dass Unternehmen eine gründliche Prüfung der rechtlichen, ethischen und datenschutzrechtlichen Vorschriften vornehmen und entsprechende Maßnahmen ergreifen.

Wie erhalte ich den AV-Vertrag von Open AI Inc.?

Einen Auftragsverarbeitungsvertrag können Sie auf der Website von OpenAI Inc. abschließen, indem Sie hier kurz die wichtigsten Unternehmensdaten angeben und absenden.

Alternativ können Sie den AV-Vertrag auch während des Registrierungsprozesses auf der OpenAI-Plattform akzeptieren. Wenn Sie sich für die Nutzung von OpenAI-Plattformen und -Dienstleistungen anmelden, erhalten Sie einen entsprechenden Hinweis zur Akzeptanz des AV-Vertrags.

  • Bitte beachten Sie hierbei, dass der AV-Vertrag von OpenAI möglicherweise aktualisiert oder geändert wird, um den aktuellen Datenschutzvorschriften oder anderen rechtlichen Bestimmungen gerecht zu werden. Es ist aus diesem Grund empfehlenswert, den AV-Vertrag regelmäßig dahin gehend zu überprüfen, ob er den aktuellen gesetzlichen Vorschriften entspricht. Weitere Informationen können Sie hier finden.

Zusätzliche Tipps zum Schutz Ihrer Daten

Ein paar Dinge können Sie des Weiteren allgemein im Umgang mit ChatGPT beachten, um sich bzw. Ihre Daten zu schützen:

Sorgfältige Eingabe

Überprüfen Sie alle Eingaben, bevor Sie sie absenden, und vermeiden Sie das Teilen sensibler oder persönlicher Informationen.

Chatverlauf deaktivieren

Wenn möglich, deaktivieren Sie die Speicherung des Chatverlaufs. In diesem Fall werden Ihre Gespräche lediglich 30 Tage lang aufbewahrt und danach endgültig entfernt. 

Widerspruchsrecht

Sie haben das Recht, der Verwendung Ihrer Daten für Trainingszwecke zu widersprechen. Senden Sie dafür eine E-Mail an das OpenAI-Team.

Sichere Netzwerkverbindung

Vermeiden Sie die Nutzung von öffentlichen WLANs beim Zugriff auf ChatGPT und nutzen Sie stattdessen eine gesicherte Verbindung oder ein VPN.

Fazit

Die fortschreitende Entwicklung von Künstlicher Intelligenz prägt unseren Alltag. Eine KI-Anwendung wie ChatGPT bietet hier vielfältige Nutzungsmöglichkeiten, wirft jedoch wichtige Fragen im Datenschutzbereich auf.

Die vorübergehende Blockade von ChatGPT in Italien und Maßnahmen von OpenAI verdeutlichen die Notwendigkeit, Datenschutzbedenken zu adressieren. Es ist entscheidend, bewusst mit ChatGPT umzugehen, persönliche Informationen zu schützen und sich über die aktuellen Datenschutzrichtlinien zu informieren.

Datenschutzrisiken sind zudem durchaus vorhanden, wie die erste Datenpanne im Frühjahr 2023 zeigte. Um diese Risiken zu mindern, sollten Nutzer und Unternehmen auf Datensparsamkeit achten, klare Einwilligungen einholen, transparent agieren und entspr. Sicherheitsmaßnahmen ergreifen. OpenAI bietet u. a. einen Auftragsverarbeitungsvertrag an, um die Datenschutzkonformität besser gewährleisten zu können.

Insgesamt ist ChatGPT ein Beispiel dafür, wie weit KI und maschinelles Lernen gekommen sind. Es erfordert allerdings stets menschliche Überwachung und Intervention, um sicherzustellen, dass es sowohl ethisch als auch datenschutzkonform verwendet wird.

Natascha Meyer

Natascha Meyer
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>