ChatGPT und Datenschutz: Risiken und Möglichkeiten der künstlichen Intelligenz
Seit OpenAI im Jahr 2020 das KI gestützte Sprachmodell ChatGPT veröffentlichte, hat sich die Künstliche Intelligenz mit den scheinbar fantastischen Fähigkeiten auch in der Unternehmenslandschaft schnell einen Namen gemacht.
Texte erstellen, Daten analysieren, Kundendialoge per Chatbot – all das, so verspricht es die Grundidee, geht jetzt in Sekundenschnelle und fast von ganz allein. Doch die Nutzung von ChatGPT hat ihre Tücken, ganz besonders aus Sicht von Aufsichtsbehörden und Datenschützern.
Grund genug für uns, einmal genauer hinzuschauen: Wie steht es um den Datenschutz bei ChatGPT? Können, sollten, dürfen Unternehmen in Deutschland damit arbeiten, und wenn ja, was ist beim Einsatz zu beachten? Gibt es geeignete Maßnahmen? Wie passt ChatGPT mit den Vorgaben der Datenschutz Grundverordnung zusammen?
Im Folgenden beleuchten wir das Thema ChatGPT aus der Perspektive des Datenschutzes ganz genau, damit Sie die Risiken und Vorzüge des KI Modells für Ihren Betrieb einschätzen können.
ChatGPT - ein Chatbot erobert die Unternehmenswelt
Trotz häufiger Bedenken sind KI Tools in der Unternehmenswelt ganz klar auf dem Vormarsch. In allen Abteilungen hilft die Nutzung solcher Tools, spart Zeit und Personal ein und sorgt für effizientere Abläufe.
Der KI gestützte Chatbot von Open AI revolutioniert erkennbar die Unternehmenswelt.
Die Abkürzung ChatGPT steht übrigens für "Chatbot Generative Pre-trained Transformer".
Sein Erfolg basiert auf der Fähigkeit, menschliche Gespräche zu simulieren, Informationen bereitzustellen und Prozesse zu automatisieren – und das binnen Sekunden.
Darum sind KI Tools im Kundenservice, in der Datenverarbeitung oder bei der Content-Erstellung, etwa um Texte zu schreiben, zunehmend beliebt.
An KI Tools im Allgemeinen kommen Unternehmen nicht vorbei, wenn sie konkurrenzfähig bleiben wollen.
Doch speziell der Einsatz von ChatGPT ruft Bedenken hervor.
Hier herrscht noch eine Menge Unklarheit und Verbesserungspotenzial, was Datenschutzfragen angeht. Bei der Verarbeitung der Daten sind Anbieter oft nicht transparent genug, und gerade mit dem Einsatz von Chat GPT laufen Unternehmen schnell Gefahr, kostspielige Fehler beim Datenschutz zu machen.
Die Folgen können nicht nur teuer sein, sondern auch das Vertrauen der Menschen ins eigene Unternehmen schwächen.
Ein Blick auf die Vorteile, besonders aber auf das Risiko, das der Einsatz von ChatGPT mitbringt, lohnt sich also in jedem Fall.
Wenn Sie spezifische Fragen haben, mehr Informationen wollen, dann sprechen Sie uns gerne direkt an: Als externe Datenschutz Beauftragte bieten wir hier Hilfe und Rat.
Was macht KI für Unternehmen interessant?
Milliarden von Zugriffen jeden Monat, über 100 Millionen Nutzer: Die Zahlen sprechen für den Erfolg von ChatGPT, auch im Unternehmensbereich.
Das scheinbar bedienerfreundliche KI Tool wird per Texteingabe mit den nötigen Informationen gefüttert und spuckt in sekundenschnelle Texte aller Art aus, beantwortet Fragen etwa als Chatbot für den Kundendienst.
Für Unternehmen aller Größenordnungen verspricht die künstliche Intelligenz einige Vorteile: So lassen sich Abläufe automatisieren und effizienter gestalten, der Kundenservice kann verbessert werden oder große Datenmengen binnen kürzester Zeit verarbeitet werden. ChatGPT ist in der Lage, kreative Inhalte zu generieren, er stellt (scheinbar) präzise Informationen zu jedem beliebigen Thema bereit und lässt sich zudem einfach in bestehende Systeme integrieren.
Allerdings, da sind sich Datenschützer und Aufsichtsbehörden einig, sind beim Thema Sicherheit des Modells, speziell in der Datenverarbeitung, Bedenken und sogar Zweifel angebracht.
Beispiele aus der Praxis: wo ChatGPT helfen könnte - und wo besser nicht
Trotz datenschutzrechtlicher Bedenken, was den aktuellen Stand der Sicherheit bei ChatGPT angeht, bietet die Nutzung unbestreitbar Vorteile in verschiedenen Unternehmensbereichen. Werden personenbezogene Daten nicht eingegeben, lässt sich das KI Sprachmodell mit der nötigen Vorsicht und entsprechenden Maßnahmen zum Schutz der Daten hilfreich einsetzen.
Wichtig ist es, vorab alle Fragen zum Einsatz von ChatGPT sowie die möglichen Folgen präzise zu klären, alle betroffenen Nutzer entsprechend zu schulen und die nötige Expertise zum Datenschutz gegebenenfalls extern einzuholen.
Nützlich kann ein Chatbot wie ChatGPT in den folgenden Bereichen sein:
Marketing: Gerade bei Strategien, die ohne personenbezogene Daten auskommen, ist ChatGPT ein denkbares Hilfsmittel. So nutzen viele Unternehmen den Chatbot, um sich Texte für Blogartikel, Ratgeberthemen oder ähnliche Texte schreiben zu lassen.
Auch hier ist allerdings Vorsicht geboten: Das Urheberrecht bei ChatGPT Texten ist eine rechtliche Besonderheit – im Zweifelsfall wären hier Plagiatsvorwürfe denkbar oder es könnte eine Urheberrechtsverletzung vorliegen.
Kundendienst: Im Support vieler Betriebe hat der Chatbot längst seinen festen Platz gefunden. Als personalsparende Maßnahme ist ChatGPT, das ständig lernt und sich verbessert, recht beliebt, um einfache, standardisierte Anfragen zu beantworten.
Sicherheitsbedenken hier sind vor allem angebracht, weil die Möglichkeit besteht, dass Kunden personenbezogene Daten ins Kommunikationsfeld eingeben.
HR- bzw. Personalabteilung: Theoretisch kann ChatGPT zahlreiche Abläufe in Personalabteilungen unterstützen oder sogar ganz übernehmen.
Allerdings sind personenbezogene Daten hier oft betroffen: Es greift etwa der Artikel 22 der Datenschutz Grundverordnung DSGVO, der Personen das Recht sichert, nicht „einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Auch im Bewerbungsverfahren entspricht ChatGPT nicht den Vorgaben, die die Datenschutzbehörde für personenbezogene Daten macht.
Kann ChatGPT Datenschutz?
ChatGPT und Datenschutz, zumal wenn es um personenbezogene Daten geht: An dieser Stelle ist Vorsicht geboten.
Der Grund liegt in der Arbeitsweise der KI: Sie nutzt eingegebene Informationen ebenso wie bereits im Internet zu findende Texte und lernt damit. Das macht ChatGPT beziehungsweise die von ihr geschriebenen Texte besser - aber es lässt sich nicht ausschließen, dass personenbezogene Daten, die vom Nutzer eingegeben werden, ebenfalls zum Training verwendet werden.
Millionen von Privatpersonen und Unternehmen geben Daten ein, um die Möglichkeiten der KI zu nutzen. Doch die verwendeten Informationen bleiben nicht ausschließlich in diesem einen Informationsaustausch. Welche Wege Ihre Daten gehen und in welchen Chats möglicherweise sensible Angaben ungewollt auftauchen, lässt sich nicht immer transparent nachvollziehen.
Damit die Rechtsgrundlage der DSGVO eingehalten werden kann, fordern Datenschützer schon länger Maßnahmen, wie sie etwa von den Aufsichtsbehörden in Italien zum Schutz der Daten vorgegeben wurden.
Allerdings sind die intelligenten Tools komplexe Werkzeuge, und ihre datenschutzrechtliche Beurteilung ist entsprechend schwierig und mit Zweifeln behaftet.
Konkret fehlen etwa bei ChatGPT Angaben zu den Datenquellen, die die KI für fertige Texte genutzt hat. Auch zu den Algorithmen hinter der automatisierten Datenverarbeitung gibt es nach Ansicht der Datenschützer nicht ausreichend Informationen. Ob und wann gar Daten an Dritte weitergegeben werden, die sie zu kommerziellen Zwecken nutzen, lässt sich ebenfalls nicht erkennen.
Daraus ergibt sich, wie etwa im Tätigkeitsbericht 2023 der Datenaufsichtsbehörde Niedersachsen zu lesen ist, das Fazit: Die Rechte von betroffenen Menschen bezogen auf den Datenschutz können nur eingeschränkt eingehalten werden, wenn ChatGPT genutzt wird.
Kann ich ChatGPT DSGVO-konform nutzen?
KI Anwendungen wie ChatGPT werden schnell zu einer Bruchstelle im Sicherheitsnetz des firmeninternen Datenschutzes.
ChatGPT Datenschutz in Deutschland: die rechtliche Lage
Grundsätzlich müssen Firmen den Vorgaben der Datenschutz Grundverordnung DSGVO entsprechen. Das umfasst wichtige Posten wie die Einwilligung in die Datenverarbeitung, die Transparenz über die Verarbeitung von Daten und die Pflicht zum Schutz der Rechte betroffener Personen.
Mehr über KI und Datenschutz lesen Sie übrigens in unserem Blog – hier entlang!
Das Problem mit ChatGPT: Ob und welche Daten wo verarbeitet werden - darüber geben KI Systeme wie dieses keine ausreichende Auskunft. Das bedeutet, dass auch Sie als Unternehmen nicht in der Lage sind, transparent zu machen, was mit den personenbezogenen Daten geschieht, die Sie in ChatGPT eingeben. Und damit erfüllen Sie nicht die Vorgaben der Datenschutzgrundverordnung.
Zum Schutz betroffener Personen zählt auch das Recht, dass verarbeitete Daten auf Anfrage gelöscht werden. Sind die Daten allerdings einmal in der großen weiten Welt von ChatGPT verschwunden, haben Sie nicht mehr die Möglichkeit, sie zu entfernen. Auch hier ist es also nicht möglich, personenbezogene Daten so umfassend zu schützen, wie es die DSGVO vorgibt.
Nicht zuletzt müssen wir bedenken: Der Anbieter OpenAI ist ein amerikanisches Unternehmen, demzufolge gemäß DSGVO also ein Drittland, außerhalb der EU. Zur Übertragung personenbezogener Daten in solche Länder gibt es ein Datenschutzabkommen, das strenge Vorgaben für den Schutz der Daten enthält.
Nur bei Einhaltung dieser Vorgaben ist eine Übermittlung von Daten in die USA zulässig. Darum ist genauestens zu prüfen, ob ChatGPT die Datenschutzrichtlinien einhält – nach aktuellem Stand ist das wohl eher nicht der Fall.
Risiko Datenverarbeitung mit ChatGPT: was Unternehmen wissen müssen
Absolute Sicherheit in der Nutzung von ChatGPT und anderen Tools bezogen auf DSGVO-Konformität gibt es im Moment keine. Im Gegenteil ist aufgrund der Intransparenz des Umgangs mit Daten bei KI Systemen eher davon auszugehen, dass hier eine Sicherheitslücke klafft.
Jedoch können Sie ChatGPT eingeschränkt nutzen, sofern Sie gewisse Maßnahmen zur Sicherheit ergreifen.
Da die Zukunft aller Wahrscheinlichkeit nach weiterhin den KI Tools gehört, ist ein noch zu verfassendes EU-Regelwerk zur Nutzung von ChatGPT und anderen KI Systemen dringend nötig, allerdings noch nicht vorhanden.
Bis es soweit ist, empfiehlt sich die umfassende Beratung für alle Nutzer der Technologie, gerade aus dem unternehmerischen Bereich, damit bei der Verarbeitung von Daten keine Datenpanne entsteht – denn die kann richtig teuer werden.
Welche Maßnahmen nötig sind, und in welchem Umfang und zu welchem Zweck Sie Chat GPT in Ihrem Bereich nutzen können: Wir bei FK-Datenschutz erstellen Ihnen dazu ein genaues Bild.
Wir beraten Sie gerne umfassend und individuell auch zur Nutzung von ChatGPT: Fragen Sie Ihr persönliches Beratungsgespräch an, wir stehen Ihnen gerne zur Seite.
FAQ zum Thema Chat GPT Datenschutz
Nach aktuellem Stand der Dinge ist ChatGPT von OpenAI nur schwer DSGVO-konform in Unternehmen einsetzbar. Hauptgründe sind unklare Details zur Verarbeitung personenbezogener Daten, zum Urheberrecht sowie die fehlende Möglichkeit, sicherzustellen, dass alle datenschutzrechtlichen Anforderungen eingehalten werden.
Die Verwendung von ChatGPT muss daher sehr sorgfältig geprüft werden. Nutzer sollten außerdem die rechtlichen und technischen Entwicklungen rund um KI-Sprachmodelle aufmerksam verfolgen.
Eine Nutzung des Modells ist möglich, jedoch nur unter strikter Beachtung der Datenschutzvorgaben. Da Chatbots wie ChatGPT personenbezogene Daten verarbeiten können, müssen Unternehmen sicherstellen, dass sie dabei keine Verstöße gegen die DSGVO riskieren. Insbesondere sollten sie prüfen, ob eine geeignete Rechtsgrundlage vorliegt und ob Maßnahmen zur Datensicherheit ausreichen.
Aufgrund der teils intransparenten Informationen, die ChatGPT zur Art und Weise der Nutzung von Daten gibt, ist die Datensicherheit in vielen Fällen nicht feststellbar. Darüber sollten sich Nutzer stets im Klaren sein und gegebenenfalls für die Verwendung im Unternehmen zuvor fachlichen Rat einholen.
Unternehmen, die den Einsatz von ChatGPT erwägen, sollten folgende Maßnahmen umsetzen:
Vermeidung der Eingabe sensibler oder nicht notwendiger personenbezogener Daten.
Prüfung, ob die Verarbeitung durch OpenAI mit den eigenen Datenschutzrichtlinien vereinbar ist.
Regelmäßige Information über den Stand der rechtlichen Bewertung von ChatGPT und ähnlichen KI-Systemen durch Aufsichtsbehörden bzw. die Datenschutzbehörde.
Transparente Kommunikation gegenüber Nutzern über den Einsatz von Chatbots und die Verarbeitung ihrer Daten.
Die Aufsichtsbehörden beobachten und bewerten die Nutzung von KI-Systemen wie ChatGPT laufend. Ihre Empfehlungen und Vorgaben sollten Unternehmen genau beachten, um rechtliche Risiken zu minimieren. Derzeit raten viele Experten dazu, die Nutzung von ChatGPT in geschäftlichen Kontexten äußerst kritisch zu überprüfen.
Verstöße gegen die Datenschutzbestimmungen können im Ernstfall teuer werden.
Kurz gesagt: Aktuell eigentlich gar nicht. Aufgrund der intransparenten Informationen zur Verarbeitung von Daten bei OpenAI ist in vielen Fällen eine seriöse Abschätzung kaum oder gar nicht möglich.
Um Datenschutzfragen zu klären und die Nutzung von ChatGPT zu bewerten, sollten Unternehmen in jedem Fall eine ausführliche Datenschutzfolgenabschätzung durchführen.
Unabdingbar ist auch eine fachliche Beratung zu den spezifischen Risiken durch Datenschutzexperten, gegebenenfalls extern.
Wo möglich, müssen technische und organisatorische Maßnahmen implementiert werden, um Datensicherheit zu gewährleisten.
Nicht zuletzt lohnt es sich, die rechtliche und technische Entwicklung im Blick zu behalten: Wie sieht die aktuelle Einschätzung durch Landesbeauftragte oder Datenschutzbehörde aus, wie entwickelt sich die Technologie selbst und die Politik bei Open AI?
Wenn Sie Fragen zu ChatGPT oder anderen KI Systemen, zu KI und Datenschutz im Allgemeinen oder zu unserer Beratung haben – melden Sie sich! Wir bringen Sie in unserer umfassenden Beratung auf den neuesten Stand.
