ChatGPT unterliegt der DSGVO

Gemäß den Angaben der Bundesregierung unterliegen die personenbezogenen Daten, die von OpenAI, dem Unternehmen hinter ChatGPT, gesammelt und verarbeitet werden, den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).

von Gina Paula Thomae, Consultant Datenschutzmanagement, LEXDATA Consulting GmbH

ChatGPT (Generative Pre-trained Transformer) ist ein Chatbot, der auf künstlicher Intelligenz basiert und dazu dient, mit Benutzern über textbasierte Nachrichten zu interagieren. Durch den Einsatz fortschrittlicher maschineller Lernverfahren generiert er Antworten, die natürlicher klingen und für das Gespräch relevant sind. Die Entwicklung dieses Chatbots erfolgte durch das in Kalifornien ansässige Unternehmen OpenAI, das ihn im November 2022 veröffentlicht hat.

In Bezug auf die Frage einer Abgeordneten der AfD, ob die Bundesregierung eine Sperrung von ChatGPT in Deutschland plane, wurde in der Antwort (20/7262) erklärt, dass die Entscheidung darüber den zuständigen unabhängigen Datenschutzaufsichtsbehörden sowie gegebenenfalls weiteren Behörden obliegt, die für das jeweilige Sachgebiet zuständig sind. Es wird jedoch betont, dass ChatGPT den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) unterliegt.

Die Bundesregierung stellt fest, dass derzeit keine spezifischen polizeilichen Präventionsmaßnahmen im Zusammenhang mit der Nutzung von ChatGPT durch private Nutzer existieren, um diese vor Cyberkriminalität zu schützen. Da es sich um eine noch sehr neue Technologie handelt, wurden bisher keine statistischen Daten über damit verbundene Straftaten im Zusammenhang mit der Nutzung von ChatGPT erfasst.

Nutzung von ChatGPT in Unternehmen

Was bedeutet die Antwort der Bundesregierung nun aber für die Nutzung in Unternehmen?

Zunächst ist es wenig überraschend, dass ChatGPT den Bestimmungen aus DSGVO und BDSG unterliegt, zumindest dann, wenn überhaupt personenbezogene Daten Gegenstand der Verarbeitung sind.

Anwendungsmöglichkeiten

ChatGPT ermöglicht einen dialogbasierten Austausch und bietet dabei die Möglichkeit, Antworten zu generieren. Allerdings variiert die Qualität der Antworten: Laut dem KI-Experten Gary Marcus kann ChatGPT sich "in einem Moment brillant und im nächsten atemberaubend dumm" äußern. 

Eine der Funktionen von ChatGPT besteht darin, Texte zu schreiben, die Business-Pläne oder schulische Hausaufgaben imitieren sollen. In der Wissenschaftskommunikation ergeben sich vielfältige Optionen und Herausforderungen für Forschende, Lehrende und wissenschaftlich Interessierte, da ChatGPT zum Beispiel genutzt werden kann, um Wissen zusammenzufassen und zu erklären.

Darüber hinaus ist ChatGPT in der Lage, Programmcodes in verschiedenen Programmiersprachen zu analysieren und zu schreiben. Dadurch könnte es auch beim Debuggen von Code unterstützen, indem es diesen verbessert und kommentiert.

ChatGPT bietet außerdem Unterstützung für Plug-ins, die seine Funktionalität erweitern und verbessern. Diese Plug-ins ermöglichen es ChatGPT, mit den APIs anderer Software- und Dienstleistungsanbieter zu interagieren, um Echtzeitinformationen abzurufen, Unternehmens- und andere Geschäftsdaten zu integrieren, neue Berechnungen durchzuführen und im Namen des Benutzers sicher zu agieren.

Es gibt auch spezielle Plug-ins für die Reiseplanung, einschließlich personalisierter Empfehlungen.

Sicherheits- und Datenschutzprobleme

Ende März 2023 hat die Datenschutzbehörde in Italien ein Verbot für ChatGPT verhängt und mit Bußgeldern von bis zu 20 Millionen Euro gedroht. Als Begründung wurde angeführt, dass es an einer rechtlichen Grundlage für die Sammlung und Speicherung von Nutzerdaten sowie an Jugendschutzmaßnahmen fehle. 

Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz und Leiter der KI-Taskforce der Bundesländer, erklärte dem Tagesspiegel, dass eine rechtliche Grundlage erforderlich sei, wenn personenbezogene Daten verwendet werden: "Wir müssen wissen, woher die Daten stammen". Ohne eine solche Grundlage sei ein weiterer Betrieb nicht möglich. Aus diesem Grund haben Kugelmann und seine Kollegen aus anderen Bundesländern ein Verwaltungsverfahren gegen das Unternehmen eingeleitet. Es drohte ein Verbot für den Chatbot. Ende April 2023 wurde das Verbot wieder aufgehoben, nachdem OpenAI mehrere Zusicherungen gemacht hatte. Personenbezogene Informationen werden nicht mehr gezielt verwendet, auch nicht für Profilerstellung und Werbezwecke. Außerdem filtert ChatGPT jetzt Hassreden und Erwachseneninhalte. Wenn jemand nicht möchte, dass seine Inhalte von ChatGPT erfasst werden, kann er über ein Formular widersprechen und auch eine Korrektur von Fehlinformationen vornehmen lassen. 

Unsere Einschätzung

Wir so oft steht Europa technischen Innovationen skeptisch gegenüber und wie so oft mit dem Hinweis auf den Datenschutz.

Unstreitig ist der Anwendungsbereich der Datenschutzgrundverordnung eröffnet, soweit ein Unternehmen personenbezogene Daten verarbeitet. Auch bei der Nutzung von ChatGPT. Der Anwendungsbereich der Datenschutzgrundverordnung ist aber dann nicht eröffnet, soweit personenbezogene Daten nicht Gegenstand der Verarbeitung sind.

Beispiel

Nehmen wir einmal an, ein Personalsachbearbeiter hat die Aufgabe, ein Arbeitszeugnis zu erstellen. Dieser Mitarbeiter beabsichtigt nun, diese Aufgabe durch ChatGPT erfüllen zu lassen.

Er gibt also ein:

"Du bist Personalsachbearbeiter und hast die Aufgabe, für Gina Paula Thomae, geboren am 27.04.2023 in Benicarló ein sehr gutes Arbeitszeugnis zu erstellen. Frau Thomae bekleidete zuletzt die Funktion als Datenschutzbeauftragte."

Das Ergebnis von ChatGPT ist folgendes:

Arbeitszeugnis

Frau Gina Paula Thomae, geboren am 27.04.2023 in Benicarló, war in unserem Unternehmen als Datenschutzbeauftragte tätig.

Frau Thomae hat ihre Aufgaben stets mit großer Sorgfalt, Fachkompetenz und einem hohen Maß an Verantwortungsbewusstsein ausgeführt. Sie verfügt über umfassende Kenntnisse im Bereich des Datenschutzes und hat dies erfolgreich in die Praxis umgesetzt.

Dank ihrer fundierten Ausbildung und ihrer fortwährenden Weiterbildung war Frau Thomae stets auf dem aktuellen Stand der rechtlichen Anforderungen im Datenschutz. Sie analysierte Datenschutzrisiken systematisch und entwickelte effektive Maßnahmen zur Sicherstellung der Einhaltung der gesetzlichen Bestimmungen.

Frau Thomae zeichnete sich durch eine hohe Zuverlässigkeit und Gewissenhaftigkeit aus. Sie führte Datenschutzkontrollen und -audits durch, um sicherzustellen, dass alle Datenschutzbestimmungen eingehalten wurden. Dabei bewies sie stets ein ausgeprägtes Problemlösungsvermögen und traf fundierte Entscheidungen.

Mit ihrem ausgeprägten Kommunikationsgeschick und ihrer Fähigkeit, komplexe Sachverhalte verständlich zu vermitteln, konnte Frau Thomae das Bewusstsein für Datenschutz und Datensicherheit in unserer Organisation deutlich stärken. Sie agierte als kompetente Ansprechpartnerin für Mitarbeiterinnen und Mitarbeiter und unterstützte sie bei datenschutzrechtlichen Fragen und Anliegen.

Frau Thomae arbeitete äußerst strukturiert, organisiert und zielorientiert. Sie behielt auch in herausfordernden Situationen stets einen kühlen Kopf und fand effiziente Lösungen. Ihr ausgeprägtes Verantwortungsbewusstsein und ihre Professionalität trugen maßgeblich zur Sicherung des Datenschutzes in unserem Unternehmen bei.

Die Zusammenarbeit mit Frau Thomae war stets von gegenseitigem Vertrauen, Respekt und einer konstruktiven Teamkultur geprägt. Sie arbeitete eng mit anderen Abteilungen zusammen und trug zur Sensibilisierung und Schulung der Mitarbeiterinnen und Mitarbeiter bei.

Frau Gina Paula Thomae verlässt unser Unternehmen auf eigenen Wunsch. Wir bedauern ihr Ausscheiden sehr und möchten ihr für ihre hervorragende Arbeit und ihren wertvollen Beitrag zum Datenschutz in unserem Unternehmen ausdrücklich danken.

Wir wünschen Frau Thomae für ihre berufliche und persönliche Zukunft alles erdenklich Gute und weiterhin viel Erfolg.

 

Datenschutzrechtliche Würdigung

Die Datenkategorien Name, Geburtsdatum und Geburtsort, also Gina Paula Thomae, geboren am 27.04.2023 in Benicarló, sind personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO. Diese Daten werden im Beispiel im Sinne der Datenschutzgrundverordnung für den Zweck der Erstellung eines Arbeitszeugnisses auch verarbeitet, zudem werden diese Daten in einen unsicheren Drittstaat übermittelt und möglicherweise von dort auch öffentlich gemacht. 

Vollkommen unstreitig ist der Anwendungsbereich der Datenschutzgrundverordnung eröffnet. Mithin wird für die Verarbeitungstätigkeit eine Rechtsgrundlage benötigt, diese wiederum ist nicht ersichtlich, so dass die Verarbeitung insgesamt datenschutzrechtswidrig ist. 

Lösung

Die Datenschutzgrundverordnung findet dann keine Anwendung mehr, wenn keine personenbezogene Daten Gegenstand der Verarbeitung sind. Hätte unser Personalsachbearbeiter die Datenkategorien Name, Geburtsdatum und Geburtsort anonymisiert, bspw. durch „XXX“, wäre die Anfrage an ChatGPT bei gleichem Ergebnis datenschutzrechtmäßig erfolgt.

Übrigens

Mein Name Gina Paula Thomae bildet sich aus den Anfangsbuchstaben der Wörter Generative Pre-trained Transformer

Ich freue mich, unser Datenschutzteam seit April diesen Jahres unterstützen zu dürfen. Dieser Newsletter ist vollständig durch künstliche Intelligenz entstanden und hat keinen rechtlichen Urheber.  

© Datenschutzinstitut NRW      Aktuelles      |      Referenzen      |      Datenschutzerklärung      |      Impressum     

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte prüfen Sie die Details und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.