ChatGPT und die DS-GVO
Data Privacy von Ioannis Dimas
ChatGPT wird aktuell als das non plus ultra bezeichnet und jeder hat es schon ausprobiert. Doch die künstliche Intelligenz zieht sich Daten aus dem Internet, kennen Sie ihre Quellen? Eine mögliche Quelle wäre evtl. Zoom (Videokonferenzdienst). Zoom gab in seinen, im August 2023 geänderten, Nutzungsbedingungen an, dass Daten (inkl. Video und Audio) genutzt werden können, um die eigene Künstliche Intelligenz zu trainieren. Nähere Infos zu dem Thema in unserem Blog.
Bei der Nutzung personenbezogener Daten durch ChatGPT sollten Sie einige Dinge beachten. Wir beantworten die wichtigsten Fragen.
Was ist ChatGPT?
Aus Wikipedia: ChatGPT (Generative Pre-trained Transformer) ist ein Chatbot, der künstliche Intelligenz einsetzt, um mit Nutzern über textbasierte Nachrichten zu kommunizieren. Er nutzt moderne maschinelle Lerntechnologie, um Antworten zu generieren, die natürlich klingen und für das Gespräch relevant sein sollen. Den Chatbot entwickelte das US-amerikanische Unternehmen OpenAI mit Sitz in Kalifornien, das ihn im November 2022 veröffentlichte.
Werden durch ChatGPT überhaupt personenbezogene Daten verarbeitet?
Die KI verarbeitet Daten aus allen ihr zugänglichen Quellen, deren Informationen sie verarbeiten kann. Ob eine KI insbesondere ChatGPT personenbezogene Daten verarbeitet, Einschränkungen oder Ausnahmen dahin gehend bestehen, ist von der Programmierung abhängig. Sollte keine Beschränkung hinsichtlich personenbezogener Daten bestehen, so werden diese als Lernmöglichkeit / Verarbeitung genutzt.
Natürlich werden dann auch die Daten des Benutzers verarbeitet, die dieser bei der Verwendung von ChatGPT preisgibt, unabhängig davon, ob es sich dabei um seine eigenen Daten handelt oder nicht und ob er dazu eine Berechtigung hat.
Die dabei entstehende Datenmenge und Vielfalt kann dabei enorm sein. Beispielsweise wenn der User Informationen zusammenstellen lässt, in denen Namen, Adressen, Querverbindungen zwischen Personen, oder Bilder mit Personen als Grundlage für die Verarbeitung und der Ergebnisausgabe dient.
Die KI entwickelt sich dabei nicht nur durch die Zunahme der Daten in den Quellen (Datenbanken, Social-Media-Plattformen etc.) auf die sie Zugriff hat, sondern auch durch die Eingabe der Information durch die Nutzer, die somit auch zu einer Quelle werden und sind. Dementsprechend werden, wenn der programmierte Algorithmus es erlaubt, auch diese Daten gespeichert und für andere Zwecke durch die KI verarbeitet / verwendet.
Die DS-GVO und andere gesetzliche Regelungen zum Datenschutz verlangen Transparenz bei der Verarbeitung von personenbezogenen Daten. Die verantwortliche Stelle muss die betroffene Person, deren Daten verarbeitet werden, nach den Vorgaben der DS-GVO und der anderen gesetzlichen Bestimmungen über die Verarbeitung der personenbezogenen Daten informieren. Dieser Vorgabe kann aber nicht vollständig nachgekommen werden, da die Algorithmen, die von der KI verwendet werden, nicht öffentlich zugänglich sind. Daher ist eine klare, deutliche und vollständige Information über die Verarbeitung an die betroffene Person nicht möglich.
Dem Betreiber von ChatGPT ist diese Problematik ebenfalls bewusst, da er den Hinweis gibt, keine sensiblen und/oder personenbezogen Daten in jeglicher Form, z. B. Bilder, Videos oder Dateien zu Personen hochzuladen.
Auch weist ChatGPT darauf hin, die gesetzlichen Bestimmungen zum Datenschutz einzuhalten.
Wie wird das Thema von den jeweiligen zuständigen Aufsichtsbehörden gehandhabt? – Ein Auszug
Die italienische Datenschutzbehörde hat ChatGPT im August 2023 aus rechtlichen Gründen in Italien kurzzeitig gestoppt. Begründet wurde dies unter anderem wie folgt: personenbezogene Daten werden unrechtmäßig gesammelt (verarbeitet) es gibt kein Altersverifikationssystem für Kinder.
Weitere Untersuchungen / Prüfungen durch die Aufsichtsbehörde stehen an. Außerdem gab es eine gemeldete Datenpanne an die Aufsichtsbehörde über die Veröffentlichung von Kommunikation zwischen Nutzern und ChatGPT.
- Die deutschen Aufsichtsbehörden arbeiten derzeit an einer Lösung und einem möglichen Verbot. Derzeit wird das Thema geprüft, unter Berücksichtigung der Erkenntnisse aus Italien. Daher ist die Nutzung derzeit in Deutschland möglich, dennoch besteht die sehr hohe Wahrscheinlichkeit bei einer Beschwerde durch eine betroffen Person sich ausgesprochen großen Ärger einzufangen bei der Auseinandersetzung mit dem möglichen Datenschutzverstoß – z.B. Verstoß gegen Transparenzpflicht, fehlender Einwilligung etc.
- Der Europäische Datenschutzausschuss (EDSA) – das ist die Datenschutzbehörde auf EU-Ebene, welche die jeweiligen Aufsichtsbehörden der Mitgliedstaaten koordiniert, hat mitgeteilt, dass die Mitglieder des Datenschutzausschusses über ChatGPT diskutieren würden. Die Mitglieder haben sich auch dazu entschlossen, eine Task-Force zu gründen, Informationen und mögliche Durchsetzungsmaßnahmen zum Datenschutz im Zusammenhang mit der Nutzung von KI auszutauschen, die anschließend von den jeweiligen Datenschutzbehörden angewendet werden könnten.
- Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit, Herr Prof. Ulrich Kelber, fordert Regeln für KI-Datensammlungen und sieht ein besonderes Schutzbedürfnis von öffentlich zugänglichen, personenbezogenen Informationen. Dies gilt insbesondere für künstliche Intelligenz. Um Nutzerdaten vor der Erfassung durch KI-Tools wie ChatGPT zu schützen, seien auch technische Maßnahmen nötig. Laut Kelber handeln viele Internetkonzerne im Widerspruch zur DS-GVO.
An dieser Stelle weisen wir auf eine Sammelklage gegen Open AI hin, in dessen Klageschrift dem Unternehmen der Diebstahl Unmengen von Daten vorgeworfen wird. Zu diesen Daten gehören auch personenbezogene Daten wie bspw. Gespräche, E-Mails sowie Gesundheitsdaten.
Kann ChatGPT im betrieblichen Umfeld angewendet werden?
Die DS-GVO verbietet eine Verarbeitung personenbezogener Daten außer für bestimmter, dort definierter Zwecke (Erlaubnisvorbehalt). Somit bestünde die Möglichkeit, sich auf Art. 6 Abs. 1 S. 1 Buchst. f) DS-GVO zu berufen "[...] die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."
Dabei muss abgewägt werden, welche Interessen zu berücksichtigen sind, in der Regel sind das:
- die Art der personenbezogenen Daten,
- der Umfang der Daten,
- das Ausmaß der Verarbeitung und
- die Transparenz gegenüber der betroffenen Personen.
Beim Thema Transparenz wird es spätestens problematisch, da wie oben bereits ausgeführt, eine datenschutzkonforme Information gegenüber den betroffenen Personen nur sehr eingeschränkt möglich ist. Selbst wenn eine Einwilligung zum Zeitpunkt der Verarbeitung vorliegt, ist es kaum möglich, nach einem Widerruf der Einwilligung durch die betroffene Person, die Auflagen, die mit der Rücknahme zu beachten sind, umzusetzen. Ganz zu schweigen von der Tatsache, dass das gesetzlich verbriefte Recht der betroffenen Person ihre Rechte – Löschung, Berichtigung, Sperrung etc. ihrer persönlichen Daten, wahrnehmen zu können, kaum möglich wäre. Die Verarbeitung somit durch die Aufsichtsbehörden beanstandet werden würde.
Die Verarbeitung der Daten erfolgt in den USA - bisher wurden die Vereinbarungen zwischen den USA und der EU-Kommission zweimal durch die höchstrichterliche Instanz in Europa, dem Europäischen Gerichtshof (EuGH) kassiert und eine Verarbeitung in den USA als nicht rechtens bewertet. Es ist sehr wahrscheinlich, dass das kürzlich geschlossene "Data Privacy Framework" ebenfalls in den nächsten Monaten vom EuGH für nichtig erklärt wird, da es dieselben bzw. doch sehr ähnlichen rechtlichen Beanstandungsmöglichkeiten aufweist wie seine Vorgänger. Entsprechende Klagen wurden bereits von verschiedenen Parteien und Organisationen angekündigt.
Der Einsatz des Tools muss auch in den Datenschutzerklärungen der Unternehmen beschrieben werden – Stichwort "Transparenz" (Art 13 DS-GVO). Da wie bereits ausgeführt die Unternehmen, die ChatGPT einsetzen, nicht wissen was mit den personenbezogene Daten bei der Verarbeitung geschieht, kann auch die geforderte Information nicht erfolgen. Somit wäre hier ebenfalls ein möglicher Verstoß zu verzeichnen.
Des Weiteren ist der Abschluss einer Vereinbarung zur Auftragsverarbeitung (AV) zwischen verantwortlicher Stelle und Auftragsverarbeiter, gesetzlich vorgeschrieben (Art. 28 DS-GVO). Die verantwortliche Stelle wäre bspw. Ihr Unternehmen und der Auftragsverarbeiter (Dienstleister) wäre ChatGPT. Leider ist derzeit unklar, ob ChatGPT eine AV abschließen kann, welche die datenschutzrechtlichen Vorgaben erfüllen kann. Außerdem ist überhaupt unklar, ob vielleicht sogar eine gemeinsame Verarbeitung nach Art. 26 DS-GVO vorliegt. In diesem Fall sieht die DS-GVO weitere Voraussetzungen vor, die von ChatGPT derzeit nicht erfüllt werden können, wie der Abschluss einer Vereinbarung über die gemeinsame Verantwortlichkeit.
Unser Fazit
Wer Chat GPT privat verwenden will, kann das gerne tun – nettes Spielzeug. Für den betrieblichen Einsatz in Ihrem Unternehmen sollten Sie lieber Abstand nehmen. Zu viele rechtlich ungeklärte oder kritische Sachverhalte birgen ein nicht kalkulierbares Risiko für Sie als Unternehmen. Zudem fördert es die Verbreitung „geklauter“ Inhalte und personenbezogener Daten im Netz. Im Blogpost (Zoom) sind wir auf die Verwendung von Video- und Audiomaterial durch Zoom aus privaten und geschäftlichen Videokonferenzen für die Künstliche Intelligenz eingegangen. Hier war die Resonanz der Öffentlichkeit außerordentlich groß, sodass Zoom seine Nutzungsbedingungen erneut überarbeitet hat. Dieses Vorkommnis verdeutlicht, wie die Öffentlichkeit zur Verwendung von personenbezogenen Daten im Zusammenhang mit künstlicher Intelligenz steht.
Gerne stehen wir Ihnen zur Erörterung Ihrer Fragen und zur Beratung möglicher Vorgehensweisen zur Verfügung.