ChatGPT und Daten­schutz – ein Überblick?

Künst­li­che In­tel­li­genz (KI) spielt in unserem pri­va­ten und be­ruf­li­chen Alltag schon längst eine Rolle, z.B. in Form von Alexa, Siri, FaceID und jetzt auch ChatGPT. Ge­ne­ra­ti­ve künst­li­che In­tel­li­genz ist gerade hip und im Trend. Das wohl be­kann­tes­te Bei­spiel ist ChatGPT (Chatbot as a Ge­ne­ra­ti­ve Pre­trai­ned Trans­for­mer), also ein künst­lich in­tel­li­gen­ter Chatbot. Er wurde von OpenAI, einem ame­ri­ka­ni­schen Un­ter­neh­men, ent­wi­ckelt und wird von Mi­cro­soft unterstützt.

ChatGPT und andere ge­ne­ra­ti­ve KI sind eine er­staun­li­che tech­no­lo­gi­sche In­no­va­ti­on, die sich viele Un­ter­neh­men zunutze machen und sollten. Ge­ne­ra­ti­ve KI birgt viel Po­ten­zi­al und auch viel Ver­än­de­run­gen. Durch KI können Ar­bei­ten er­leich­tert werden und Lö­sun­gen für diverse Pro­ble­me lassen sich ge­ne­rie­ren und darstellen.

Sie birgt al­ler­dings auch Risiken hin­sicht­lich Rich­tig­keit, Ver­trau­lich­keit und Daten­schutz. Bevor interne, ver­trau­li­che oder streng ver­trau­li­che In­for­ma­tio­nen in diese Systeme ein­ge­ge­ben werden, ist es er­for­der­lich (interne) „Spiel­re­geln“ auf­zu­stel­len und vor allem Ver­ein­ba­run­gen und Ver­trä­ge mit den Dienst­leis­tern und An­bie­tern abzuschließen.

Wie funk­tio­niert ChatGPT?

ChatGPT kann Ge­dich­te, jour­na­lis­ti­sche Artikel, Com­pu­ter­codes, Stel­len­aus­schrei­bun­gen, prin­zi­pi­ell alles, schrei­ben und ver­fas­sen. Es wird „ge­ne­ra­tiv“ genannt, da es eine Art von künst­li­cher In­tel­li­genz ist, die in der Lage ist, neue und ori­gi­nel­le Daten wie Bilder und Texte zu er­zeu­gen. Im Ge­gen­satz zu Such­ma­schi­nen. Such­ma­schi­nen zeigen le­dig­lich Links zu anderen Web­sei­ten an, die po­ten­zi­el­le Ant­wor­ten z.B. auf Fragen dar­stel­len. Es obliegt dem Nutzer zu ent­schei­den, welche Antwort, die für ihn rich­ti­ge und ver­trau­ens­wür­di­ge ist. Such­ma­schi­nen er­stel­len keine neuen Inhalte, sie durch­su­chen le­dig­lich das In­ter­net. Ge­ne­ra­ti­ve KI dagegen er­stellt neue Inhalte, statt sie nur zu durch­su­chen. Das un­ter­schei­det sie von Suchmaschinen.

Ge­ne­ra­ti­ve KI, wie z.B. ChatGPT, er­stellt seine Er­geb­nis­se als eine einzige Quelle, ohne dabei selbst ihre Quellen of­fen­zu­le­gen. Die ge­ne­ra­ti­ve KI basiert im We­sent­li­chen auf sta­tis­ti­schen Wahr­schein­lich­kei­ten. Die Grund­idee ist auf der Grund­la­ge eines Inputs, z.B. einer Nut­zer­fra­ge, einen Text zu er­stel­len, in dem es das zu dem Input wahr­schein­lich am besten pas­sen­de Wort findet. Dann sucht das Pro­gramm das zweite, das dritte usw. Wort, bis es ge­nü­gend Text als Antwort ge­ne­riert hat. Es wird also das wahr­schein­lichs­te nächste Wort ge­ne­riert, aber nicht not­wen­di­ger­wei­se das einzig sach­lich kor­rek­te nächste Wort – es gibt also keine in­hä­ren­te Über­prü­fung der Kor­rekt­heit. Marit Hansen, Lan­des­be­auf­tra­ge für Daten­schutz Schles­­wig-Hol­stein und Lei­te­rin des Un­ab­hän­gi­gen Lan­des­zen­trums für Daten­schutz in Kiel (ULD), be­zeich­ne­te der­ar­ti­ge Sprach­mo­del­le passend als „sto­chas­ti­schen Papagei.[1]

Was Fragen be­trifft, so kann die ge­ne­ra­ti­ve KI all­ge­mei­ne Fragen zu di­ver­sen Themen be­ant­wor­ten, z.B. „Welche Inhalte muss ein Ar­beits­ver­trag zwin­gend ent­hal­ten?“. Sie kann jedoch keine aus­führ­li­che und/oder fach­kun­di­ge Be­ra­tung geben. Es ist au­ßer­dem nicht klar, wie die Sprach­mo­del­le der KI trai­niert werden. Das birgt das Risiko, dass die Ant­wor­ten, also die Er­geb­nis­se ver­zerrt, dis­kri­mi­nie­rend oder auch be­lei­di­gend und ggf. auch nicht korrekt sind.

Verbot von ChatGPT in Italien

Die Ita­lie­ni­sche Da­ten­schutz­auf­sichts­be­hör­de GPDP, Garante per la po­ten­zio­ne die dati per­so­na­li, hat mit Be­scheid vom 30.03.2023[2] und mit so­for­ti­ger Wirkung wegen Ver­stö­ßen gegen die DSGVO und den Ju­gend­schutz OpenAI vor­läu­fig un­ter­sagt, per­so­nen­be­zo­ge­ne Daten von Be­trof­fe­nen in Italien über ChatGPT zu ver­ar­bei­ten. Die GPDP beruft sich dabei auf Art. 58 Abs. 2 lit. f DSGVO, wonach es den Da­ten­schutz­auf­sichts­be­hör­den erlaubt ist, bei Ver­stö­ßen gegen die DSGVO die Da­ten­ver­ar­bei­tung vor­über­ge­hend einzuschränken.

Die GPDP nennt für das vor­läu­fi­ge Nut­zungs­ver­bot mehrere Gründe:

• Man­geln­de Informationen
  Die Be­trof­fe­nen werden nicht aus­rei­chend und an­ge­mes­sen über die Ver­ar­bei­tun­gen ihrer per­so­nen­be­zo­ge­nen Daten in­for­miert. ChatGPT in­for­miert nicht darüber, welche per­so­nen­be­zo­ge­ne Daten und zu welchem Zweck diese von ChatGPT ge­sam­melt werden. Es sei ein­deu­tig, so GPDP, dass per­so­nen­be­zo­ge­ne Daten der Nutzer ge­spei­chert werden, es ist aber unklar, was mit diesen Daten pas­siert und ob das Un­ter­neh­men diese ggf. weiterveräußere.

• Es gebe keine ge­eig­ne­te Rechts­grund­la­ge für die Er­he­bung per­so­nen­be­zo­ge­ner Daten und deren Ver­ar­bei­tung zum Zwecke des Trai­nings der dem Betrieb von ChatGPT zu­grun­de lie­gen­den Algorithmen.
• Die Al­ters­ve­ri­fi­ka­ti­on von ChatGPT sei un­zu­rei­chend, da nur Nutzer, die über 13 Jahre alt seien, ChatGPT ver­wen­den dürfen. Es besteht derzeit keine Kon­troll­mög­lich­keit, mit der das Alter der Nutzer über­prüft wird.
• Au­ßer­dem kann es dazu kommen, dass über ChatGPT falsche In­for­ma­tio­nen ver­brei­tet werden. Die Ant­wor­ten von ChatGPT seien nicht immer richtig, so dass das Gebot der Rich­tig­keit der Daten ver­letzt wird und bei manchen Ant­wor­ten Dinge über Be­trof­fe­ne er­fun­den werden.

Nur knapp  einen Monat später wurde die Sperre wieder auf­ge­ho­ben, nachdem OpenAI auf sämt­li­che da­ten­schutz­recht­li­che For­de­run­gen der GPDP ein­ge­gan­gen war.
Folge des Verbots: Eu­ro­päi­sche Nutzer von ChatGPT können unter anderem nunmehr die Ver­ar­bei­tung ihrer Daten zu KI-Trai­­nings­­­z­we­­cken un­ter­sa­gen und ihre ge­spei­cher­ten Ein­ga­ben be­aus­kunf­ten und löschen lassen.

Risiken für Ver­trau­lich­keit und Datenschutz

Gemäß der Privacy Policy von ChatGPT werden alle in das System ein­ge­ge­be­nen Daten von ChatGPT in den USA ver­ar­bei­tet. Die Un­ter­neh­men können keine Ver­ein­ba­run­gen wie z.B. eine Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung mit der Mut­ter­ge­sell­schaft OpenAI ab­schlie­ßen. Die ver­ant­wort­li­chen Un­ter­neh­men können somit nicht ga­ran­tie­ren, dass die ein­ge­ge­be­nen Daten ver­trau­lich, ge­­se­t­­zes- sowie da­ten­schutz­kon­form ver­ar­bei­tet werden. Ge­ne­ra­ti­ve KI-Modelle werden mit Si­cher­heit die ein­ge­ge­be­nen Daten dazu nutzen, um ihre KI zu trai­nie­ren. Die USA ver­fü­gen au­ßer­dem über kein an­ge­mes­se­nes Da­ten­schutz­ni­veau gemäß DSGVO. Es müssten daher mit den Dienst­leis­tern be­stimm­te Si­cher­heits­vor­keh­run­gen ver­ein­bart werden, bevor (per­so­nen­be­zo­ge­ne) Daten über­mit­telt werden dürfen.

Bei der Be­wer­tung von Daten aus Da­ten­schutz­sicht, sind grund­sätz­lich zwei Da­ten­ar­ten zu be­rück­sich­ti­gen: die Trai­nings­da­ten und die Be­triebs­da­ten. Die Inhalts- und Nut­zungs­da­ten werden durch den Pro­gramm­be­trieb von den Nutzern ein­ge­ge­ben und durch die Nutzung ge­ne­riert. Die Trai­nings­da­ten sammelt die KI, zum einen mit öf­fent­lich und frei zu­gäng­li­chen Daten im In­ter­net und zum anderen bei der Nutzung von ChatGPT durch den User. In beiden Fällen werden si­cher­lich nicht un­er­heb­li­che Da­ten­men­gen an per­so­nen­be­zo­ge­nen Daten ge­sam­melt. Beide Da­ten­ar­ten werden aus un­ter­schied­li­chen Quellen erhoben und zu un­ter­schied­li­chen Zwecken verarbeitet.

In­ter­es­sens­ab­wä­gung

Für die Er­he­bung und Nutzung der im In­ter­net frei zu­gäng­li­chen Daten könnte Art. 6 Abs. 1 lit. f) DSGVO in Be­tracht kommen. Dies setzt al­ler­dings eine Ab­wä­gung der ein­an­der ge­gen­über­ste­hen­den Rechte und In­ter­es­sen voraus – eine In­ter­es­sens­ab­wä­gung. Es ist folg­lich eine drei­stu­fi­ge Prüfung durch­zu­füh­ren, um zu er­mit­teln, ob die Vor­aus­set­zun­gen des Art. 6 Abs. 1 lit. f DSGVO erfüllt sind:

1. Stufe: Vor­lie­gen eines be­rech­tig­ten In­ter­es­ses des Ver­ant­wort­li­chen oder eines Dritten.
2. Stufe: Er­for­der­lich­keit der Da­ten­ver­ar­bei­tung zur Wahrung dieser Interessen.
3. Stufe: Ab­wä­gung mit den In­ter­es­sen, Grund­rech­ten und Grund­frei­hei­ten der be­trof­fe­nen Person im kon­kre­ten Einzelfall.

Rechts­grund­la­ge

Für die Nutzung von Be­triebs­da­ten, welche beim Nutzer direkt erhoben werden, und zu Trai­nings­zwe­cken ver­wen­det werden sollen, könnte auf Art. 6 Abs. 1 lit. a) DSGVO, der Ein­wil­li­gung durch die be­trof­fe­ne Person (Nutzer), ge­stützt werden.

Un­ge­ach­tet der Rechts­grund­la­ge ist die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu er­fas­sen und zu do­ku­men­tie­ren. Die Grund­sät­ze der Ver­ar­bei­tung (Art. 5 Abs. 1 DSGVO) nach Treu und Glauben, Zweck­bin­dung, Da­ten­mi­ni­mie­rung, Rich­tig­keit, Da­ten­mi­ni­mie­rung, Spei­cher­be­gren­zung sowie die Trans­pa­renz­pflich­ten (Art. 12 ff. DSGVO) sind zu be­ach­ten wie auch die Be­trof­fe­nen­rech­te sind zu ge­währ­lei­ten. Des Wei­te­ren wird sich i.d.R. eine Ver­pflich­tung zur Durch­füh­rung einer Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung gemäß Art. 25 DSGVO ergeben.

Und in Deutschland?

Der Hes­si­sche Be­auf­trag­te für Deutsch­land und In­for­ma­ti­ons­frei­heit[3] teilt, wie auch der Bun­des­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­si­cher­heit (BfDI)[4], mit, dass ChatGPT auf seine da­ten­schutz­recht­li­che Kon­for­mi­tät hin über­prüft werden solle. Auch der Lan­des­be­auf­trag­te für Daten­schutz und In­for­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg in­for­miert sich bei OpenAI, wie ChatGPT da­ten­schutz­recht­lich funk­tio­niert und wirkt im Eu­ro­päi­schen Da­ten­­­schutz-Aus­­­schuss (EDSA) auf ein ein­heit­li­ches eu­ro­päi­sches Vor­ge­hen hin.[5] Der LfDI hat bereits in seinem Tä­tig­keits­be­richt 2022 über Künst­li­che In­tel­li­genz be­rich­tet (Kap. 1.5 Zu­kunfts­the­men an­neh­men).[6]

Fazit

ChatGPT kann trotz noch zu klä­ren­der (da­ten­schutz­recht­li­cher) An­for­de­run­gen z.B. als Text­ge­ne­ra­tor ver­wen­det werden, z.B. als For­mu­lie­rungs­hil­fe oder zur Struk­tu­rie­rung von Texten. Es sollte jedoch immer bedacht werden, dass ChatGPT keine Pro­ble­me lösen kann, teil­wei­se „Märchen er­fin­det“ und Daten an­der­wei­tig und für weitere Zwecke genutzt werden.

Fragen? Schrei­ben Sie uns ein E-Mail oder rufen Sie uns an und wir ver­ein­ba­ren einen Termin – unser Team steht Ihnen gerne zur Verfügung.
Kontakt: consulting@adorgasolutions.de 

[1] https://www.golem.de/news/chatgpt-und-datenschutz-wenn-der-stochastische-papagei-sich-verplappert-2302-172227.html (zuletzt auf­ge­ru­fen am 24.04.2023)

[2] https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870832 (zuletzt ab­ge­ru­fen am 24.04.023)

[3] https://datenschutz.hessen.de/presse/hbdi-prueft-datenverarbeitung-der-anwendung-chatgpt (zuletzt auf­ge­ru­fen am 24.04.2023)

[4] https://www.spiegel.de/netzwelt/netzpolitik/chatgpt-droht-auch-in-deutschland-datenschutzaerger-a-36d48232-0f0b-4d94-a953-c55c2603c15f?utm_source=dlvr.it&utm_medium=twitter (zuletzt auf­ge­ru­fen am 24.04.2023)

[5] https://www.baden-wuerttemberg.datenschutz.de/lfdi-informiert-sich-bei-openai-wie-chatgpt-datenschutzrechtlich-funktioniert/ (zuletzt auf­ge­ru­fen am 24.04.2023).

[6] https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2023/02/TB_38_Datenschutz-2022_V1-.pdf (zuletzt auf­ge­ru­fen am 24.04.2023).