Rechtsanwalt & Fachanwalt für Urheber- und Medienrecht
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
| Datenschutzrecht, IT-Recht, Sonstige Rechtsgebiete
Blog News
Um sich von Mitbewerbern nicht abhängen zu lassen, ist es für Unternehmen oberste Priorität, technologisch auf dem neusten Stand zu bleiben und mit der neuen Technologie umgehen zu können. Daher wird die Software ChatGPT, vom US-amerikanischen Unternehmen OpenAI, bereits von vielen Unternehmen verstärkt genutzt. ChatGPT hat für die Mitarbeitenden eine unterstützende Wirkung. Die Nutzung führt nachweislich zur einer Steigerung der Effizienz und Qualität. Doch nun treten bezüglich ChatGPT verstärkt datenschutzrechtliche Fragen auf. Insbesondere da ChatGPT personenbezogene Daten nutzt und verarbeitet, was derzeit nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar und folglich datenschutzrechtlich bedenklich ist. Im Folgenden klären wir darüber auf, wie Sie diese Künstliche Intelligenz (KI) trotz datenschutzrechtlicher Bedenken risikoarm in Ihrem Unternehmen nutzen können. So können Sie zukünftig kostspielige Folgen umgehen.
Das US-amerikanische Unternehmen OpenAI hat die Software ChatGPT entwickelt. Hierdurch können Nutzer über eine Chat-Funktion Informationen zusammenstellen lassen. Diese Art von Software wird als künstliche Intelligenz (KI) verstanden. Ihre Funktionsweise erfolgt durch maschinelles Lernen.
Im November 2022 ist die erste kostenlose Beta-Version von ChatGPT, die öffentlich zugänglich war, erschienen. Zudem kann gegen ein Entgelt eine kommerzielle Version genutzt werden. Hierdurch ist es Unternehmen möglich, ChatGPT durch eine Programierschnittstelle in deren Infrastruktur zu integrieren.
Die GPT-4 Version ist seit März 2023 auf dem Markt und ist dazu in der Lage, Bilder, Audios, längere Texte und mehrere Millarden Parameter zu verarbeiten.
ChatGPT ist vor dem Hintergrund der DSGVO in vielerlei Hinsicht datenschutzrechtlich problematisch. Die KI lernt aus unterschiedlichen Quellen, zu denen eine Schnittstelle besteht und analysiert diese Daten.
Zwar soll sie personenbezogene Daten hierbei aussparen, jedoch ist es ihr nicht möglich zu erkennen, was personenbezogene Daten darstellen. Für die Verarbeitung personenbezogener Daten muss jedoch eine Rechtsgrundlage bestehen, die auf den ersten Blick meist nicht sofort erkennbar ist.
Wenn Nutzer personenbezogene Daten an ChatGPT weitergeben, um Ergebnisse zu generieren, müssten sie hierzu gemäß datenschutzrechtlicher Vorgaben ausdrücklich ermächtigt worden sein.
Eine KI kennt keinen Stillstand, sondern entwickelt sich stetig weiter. Daher besteht abhängig vom Algorithmus und der Programmierung der KI die Möglichkeit, dass personenbezogene Daten, die von Nutzern in den Chat eingetragen wurden, gespeichert und zur eigenen Fortentwicklung genutzt werden. Nach dem Datenschutzrecht müssen die Verantwortlichen den betroffenen Personen offen darlegen, wie die Datenverarbeitung abläuft. Allerdings können diese Information den Betroffenen nicht mitgeteilt werden, da der Algorithmus zu undurchsichtig und die Verarbeitung der personenbezogenen Daten zu komplex ist.
Der Anbieter von ChatGPT ist sich über diese datenschutzrechtlichen Problematiken im Klaren. Deutlich wird dies durch die Instruktion, mit der die Nutzer beim Registrierungsvorgang für die kostenlose Nutzung von ChatGPT konfrontiert werden. So ist es nicht gestattet, sensitive Informationen im Chat zu teilen.
Wenn man ChatGPT direkt danach fragt, ob personenbezogene Daten bei ChatGPT eingegeben werden können, rät der Chatbot ausdrücklich davon ab. Vor allem, wenn der Dienst nicht für den sicheren Umgang mit den Daten ausgelegt ist.
Ist es für die Ergebnissuche dennoch essenziell personenbezogene Daten einzugeben, sollten Sie nur die nötigsten Daten eingeben und überprüfen, ob der Dienst die geltenden Datenschutzgesetze beachtet. Zudem sollte eine sichere Verbindung verwendet werden.
Viele Datenschützer raten derzeit von einer Verwendung von ChatGPT ab, da diese nicht datenschutzkonform ist.
Erst am 31.03.2024 wurde ChatGPT in Italien aufgrund datenschutzrechtlicher Bedenken gestoppt. Eine Nutzung von ChatGPT ist daher von Italien aus gerade nicht möglich.
Die italienische Datenschutzbehörde „Garante per la protezione dei dati personali“ bemängelte das fehlende Altersverifikationssystem für Kinder und die durch ChatGPT unrechtmäßig gesammelten personenbezogenen Daten, die zum Trainieren des Algorithmus genutzt werden. Es existiere keine Rechtsgrundlage, die eine derartig umfangreiche Sammlung an personenbezogenen Daten rechtfertige. Teilweise verarbeite ChatGPT sogar falsche personenbezogene Daten. Zudem werden die Nutzer nicht hinreichend über die Datenverarbeitung informiert. Am 23.03.2023 hätte bereits eine Meldung über eine Datenpanne vorgelegen, die die Unterhaltungen und Zahlungsinformationen von ChatGPT Nutzern umfasste. Die italienische Datenschutzbehörde ordnete eine Einschränkung der Datenverarbeitung der italienischen Nutzer durch OpenAI an. Nun muss der Anbieter von ChatGPT der italienischen Datenschutzbehörde aufzeigen, welche Schritte in die Wege geleitet wurden, um der behördlichen Anordnung nachzukommen. Ansonsten droht OpenAI eine Geldstrafe von bis zu 20 Millionen bzw. 4% des gesamten weltweiten Jahresumsatzes. Dies entscheidet sich danach, welcher Betrag höher ausfällt.
Der Bundesbeauftragte für den Datenschutz in Deutschland teilte kurz darauf mit, dass eine solche Sperre für ChatGPT auch in Deutschland verhängt werden könnte. Dies hat jedoch die Landesdatenschutzbehörde auf Länderebene, die hierfür zuständig ist, zu bestimmen. Bis die Informationen aus Italien angefragt und verarbeitet werden, ist mit einer Entscheidung allerdings vorerst nicht zu rechnen.
Die englische Datenschutzbehörde merkte an, dass sich Unternehmen vor der Entwicklung oder Nutzung einer KI ihrer datenschutzrechtlichen Pflichten bewusst werden müssen. Selbst wenn eine KI personenbezogene Daten aus öffentlichen Quellen zieht, gelte das Datenschutzrecht.
Sogar der Europäische Datenschutzausschuss hat eine Diskussion über die Nutzung von ChatGPT und die Einrichtung einer Task Force zur Förderung des Austauschs der europäischen Datenschutzbehörden angekündigt.
Aufgrund der Bedenken der Datenschutzbehörden, ist die Nutzung von ChatGPT für Unternehmen in datenschutzrechtlicher Hinsicht derzeit äußerst risikoreich. Einzelne Beschwerden könnten nämlich schon Maßnahmen durch die Aufsichtsbehörden provozieren.
Jede Datenverarbeitung muss gesetzlich legitimiert sein. Grund hierfür ist das Verbot mit Erlaubnisvorbehalt aus der DSGVO. Eine solche gesetzliche Legitimation besteht jedoch derzeit nicht.
Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO gestattet eine Verarbeitung von personenbezogenen Daten nur in dem Umfang, der zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten dient und wiederum keine Grundrechte oder Grundfreiheiten der Betroffenen überwiegen. Diese Abwägung wird derzeit jedoch nicht zugunsten des Verantwortlichen ausfallen, da die Datenverarbeitung von ChatGPT nicht transparent nachvollziehbar ist. Neben dem Umfang und der Art der verarbeiteten personenbezogenen Daten, ist dies ein wichtiger Aspekt bei der Abwägung der Interessen.
Zudem ist eine Übermittlung der Daten an die USA, wo sich derzeit der Server von ChatGPT befindet, nur unter schwer zu erfüllenden Voraussetzungen möglich. Daher ist eine rechtmäßige Nutzung von ChatGPT durch Unternehmen schwer zu rechtfertigen.
Des Weiteren wissen die Unternehmen nicht, wie ChatGPT mit den personenbezogenen Daten verfährt. Somit können die Unternehmen ihre DSGVO-Transparenzpflichten gemäß Artikel 13 DSGVO nicht erfüllen.
Zudem muss zwischen dem Auftragsverarbeiter und Verantwortlichen gemäß Artikel 28 DSGVO ein Aufhebungsvertrag abschlossen werden, wenn von einen datenschutzrechtlich verantwortlichen Unternehmen personenbezogene Daten an ChatGPT zur Datenverarbeitung übermittelt werden. Dies ist bei der kostenfreien Version von ChatGPT jedoch nicht bedacht worden.
Ohnehin ist fraglich, ob die Datenverarbeitung von ChatGPT datenschutzrechtlich einem Aufhebungsvertrag entspricht oder ob nicht vielmehr eine sog. gemeinsame Verantwortlichkeit von OpenAI vorliegt. Dann würde die DSGVO weitere Voraussetzungen vorsehen, die aber aktuell nicht von ChatGPT geleistet werden können.
Wenn Sie trotz der benannten Risiken ChatGPT weiterhin als Unternehmen nutzen wollen, sollten Sie zur Risikominimierung folgende Punkte beachten:
Grundsätzlich sollten Sie der Instruktion von OpenAI Folge leisten, keine personenbezogenen Daten einzugeben. Zusätzlich sollte vom Unternehmen der Grundsatz der Vertraulichkeit und Integrität im Sinne von Artikel 5 Absatz 1 Buchstabe f) DSGVO Beachtung finden. Den Mitarbeitern sollten Unternehmensrichtlinien zum richtigen Umgang mit ChatGPT sowie ein Verhaltenskodex zur Seite gestellt werden, der einem erläutert, was es bei einem Compliance-Verstoß zu beachten gilt.
ChatGPT speichert ältere Chats. Daher sollten diese nur für autorisierte Personen zugänglich sein und ein Löschkonzept existieren.
Sie wollen ChatGPT risikoarm nutzen, erfahren, wie Sie sich selbst im Urheberrecht, Datenschutzrecht und/oder im Wettbewerbsrecht gegen die Nutzung von Ihren Daten und Werken schützen können? Sie brauchen Unterstützung, um gegen Betreiber vorzugehen? Oder Sie wollen eine Beratung in diesen Bereichen? Dann sind Sie bei SBS LEGAL genau richtig. Unsere Anwälte von SBS LEGAL beraten Sie gerne umfassend.
Für weitere Rückfragen stehen wir Ihnen sehr gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?