Cookies
Diese Website verwendet Cookies und ähnliche Technologien für Analyse- und Marketingzwecke. Durch Auswahl von Akzeptieren stimmen Sie der Nutzung zu, alternativ können Sie die Nutzung auch ablehnen. Details zur Verwendung Ihrer Daten finden Sie in unseren Datenschutz­hinweisen, dort können Sie Ihre Einstellungen auch jederzeit anpassen.
EinstellungenAkzeptieren
Digital Business

ChatGPT DSGVO-konform nutzen und Datenschutz sicherstellen

6
Minuten Lesezeit

Notice: This article is written in German.

ChatGPT Datenschutz DSGVO KI und Datenschutz
ChatGPT fasziniert Menschen weltweit. Jeden Tag interagieren Millionen von Mensch mit der KI von OpenAI, dem US-basierten Anbieter, oder greifen auf das umfangreiche Wissen des Chatbots zurück. Auch wenn die Euphorie groß ist, sollte Datenschutz und der Umgang mit persönlichen und sensiblen Daten nicht auf der Strecke bleiben. Kein wunder, dass eine Frage immer lauter wird: Wie sicher ist ChatGPT?

ChatGPT unterliegt der DSGVO

Bereits Anfang 2023 startete in Europa die Debatte  hinsichtlich des Datenschutzrisikos von ChatGPT. Ein Beispiel ist Italien, wo eine Datenpanne zur Preisgabe persönlicher Informationen in fremden Chats führte und so Nutzergespräche und Zahlungsinformationen geleakt wurden. Nachdem der Datenschutzverstoß bemerkt worden war, wurde ChatGPT für fast einen Monat gesperrt. Die Datenschutzbehörde des Landes warf dem Anbieter OpenAI vor, gegen die geltenden europäischen Datenschutzbestimmungen verstoßen zu haben.

Im Juni 2023 hat dann auch die deutsche Bundesregierung nachgezogen und auf eine kleine Anfrage im Bundestag (Drucksache 20/6835 v. 17.05.2023) reagiert. Die formuliert Antwort erlaubt keinen Raum für Interpretationen:  

Die Verarbeitung personenbezogener Daten durch das ChatGPT betreibende Unternehmen OpenAI unterliegt den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdaten- schutzgesetzes (BDSG).”

Folglich entscheidet die zuständige Datenschutzaufsichtsbehörde, ob und welche Maßnahmen gegenüber OpenAI ergriffen werden können. Grundsätzlich gilt die DSGVO für alle Unternehmen, die personenbezogene Daten automatisiert verarbeiten und/oder Daten von EU-Bürgern nutzen – egal wo sie ihren Sitz haben. Auch große Unternehmen wie Facebook, Google oder wie in diesem Fall OpenAI können sich davon nicht freisprechen.

ChatGPT und Datenschutz - was sind die Herausforderungen?

Für viele ist ChatGPT so etwas wie eine große Blackbox - vor allem, wenn es um Datenschutz geht. Für Unternehmen, die sich mit generativer KI und Large Language Models beschäftigen, ist das ein doppeltes Stirnrunzeln: Ist ChatGPT sicher? Und was passiert eigentlich mit den Daten, die gesammelt werden? Wenn die Mitarbeitenden ChatGPT im Arbeitsalltag nutzen, lässt man OpenAI quasi in seine Daten gucken. Aber die Mehrheit weiß nicht wirklich, welche Daten genau gesammelt werden und zu welchem Zweck.

Wenn Mitarbeitende mit ChatGPT arbeiten, benötigen sie ein Nutzerkonto, für das eine E-Mail-Adresse und eine Mobilfunknummer angegeben werden müssen. Mit der Einrichtung eines Benutzerkontos erlauben sie OpenAI außerdem, Nutzungsdaten zu erfassen, auszuwerten und sogar an Dritte weiterzugeben.

Laut der OpenAI-Datenschutzbestimmung gehören zu den Nutzerdaten unter anderem die Aktionen, die Nutzer ausführen, Informationen über ihre Zeitzone und ihr Land und IP-Adressen. Allerdings erfolgt seitens OpenAI keine Aufklärung darüber, zu welchem Zweck und in welchem Umfang Daten weitergegeben werden. Theoretisch könnte verfolgt werden, dass eine Person z. B. den Chatbot jeden zweiten Tag für Recherchen zu einem spezifischen Thema verwendet. Das stellt Unternehmen datenschutzrechtlich vor eine große Herausforderung, da sie nicht absehen können, in welchem Umfang die Daten ihrer Mitarbeitenden von ChatGPT verfolgt, verarbeitet und an Dritte weitergegeben werden oder was damit passiert.

Kann ChatGPT DSGVO-konform genutzt werden, ohne Risiken beim Datenschutz?

ChatGPT findet in zahlreichen Unternehmen immer mehr Anklang, denn die positiven Effekte, wie z. B. bei Recherchen, der Generierung von Ideen oder bei Datenanalysen, sind schnell ersichtlich. Gleichzeitig sehen Datenschutzexperten Handlungsbedarf, um eine Nutzung im Einklang mit der DSGVO sicherzustellen. Das klingt eindeutig nach einem Zielkonflikt, den Unternehmen für sich lösen müssen, wenn sie langfristig vonprofitieren möchten.

Mit  ChatGPT Enterprise verspricht OpenAI seinen Geschäftskunden, neben mehr Leistung, einen höheren Datenschutz. OpenAI versichert zudem, keine Kunden-Prompts und Unternehmensdaten für das Training seiner KI-Modelle zu verwenden. Bekanntlich nutzt das Unternehmen jedoch in seiner kostenlosen und auch in der Abo-Variante die Nutzerdaten für das Training seines Systems - es sei denn, Nutzer:innen haben diese Funktion manuell für sich deaktiviert. Zudem kann selbst bei der Enterprise-Lösung derzeit nicht sichergestellt werden, dass die Nutzungsdaten auf Servern in der EU verbleiben.

ChatGPT DSGVO KI Datenschutz

Was können Unternehmen tun, um ChatGPT DSGVO-konform zu nutzen?

Unterm Stroch kann man sagen, dass es derzeit keine Möglichkeit gibt, ChatGPT DSGVO-konform zu nutzen. Unternehmen können jedoch Vorkehrungen treffen, um das Risiko eines Datenlecks zu minimieren. Wir haben vier wesentlichen Maßnahmen zusammengetragen, wie das gelingt:

Daten auf EU-Servern hosten

Es empfiehlt sich für das Daten-Hosting Server in der EU auszuwählen, welche den EU-Datenschutzbestimmungen entsprechen und einen einfache Zugriffskontrolle ermöglichen. Das hat den Vorteil, dass die Vorgaben der DSGVO als gesetzliche Grundlage dienen und keine zusätzlichen Nachweise erbracht werden müssen.

Keine Personendaten für das Training von KI-Modellen nutzen  

ChatGPT nutzt Daten, um sein Modell zu trainieren. Die eingegebenen Daten sollten daher keinen Personenbezug enthalten. Es reicht aus, anonyme Daten oder Pseudonyme zu nutzen. So bleibt der Zweck der Daten spezifisch und personenbezogene Daten werden von der Modellentwicklung getrennt. Zudem ist es wichtig, die Übernahme von Eingabedaten in das Modell-Training nicht zuzulassen. OpenAI bietet hier bereits spezielle Einstellungen. Inzwischen gibt es aber  auch weitere  alternative Anbieter wie z. B. Azure ChatGPT, die eine Weitergabe von sensiblen Daten ausschließen.

Transparenz und Vertraulichkeit sicherstellen

Eine Weitergabe oder eine zusätzliche Verarbeitung von persönlichen und sensiblen Daten darf nicht erfolgen. Daten sollten zwingend vertraulich behandelt werden und dürfen nur für den ursprünglich vereinbarten Zweck verwendet werden.

Datensicherheit und Datenschutz ernst nehmen

Generell sollten die Themen Datensicherheit, -Speicherung und Datenmissbrauch im Unternehmens-Regelwerk fest verankert sein. Anbieter von Chat-Assistenten sollten z. B. rechtliche Mindestanforderungen wie DSGVO vollständig erfüllen. Weiterhin sind zusätzliche Zertifizierungen wie z. B. ISO 27001 ein Zeichen für einen guten Datenschutz.

Fazit

ChatGPT hat sich in zahlreichen Unternehmen als wichtiges KI-Tool etabliert. Für Unternehmen ist es nun wichtig, die Nutzung von ChatGPT im Kontext Datenschutz und DSGVO zu betrachten und entsprechende strategische Entscheidungen zu treffen. Obwohl OpenAI mit neuen Versionen von ChatGPT verstärkten Datenschutz verspricht, erfordert die Integration in das eigene Unternehmen und die dazugehörigen Prozesse einen ganzheitlichen Ansatz. Besonders bei der Entwicklung von eigenen Anwendungen, sollte der Datenschutz nicht vernachlässigt werden und mit den notwendigen Maßnahmen einhergehen.

Michael Gwozdz
Michael Gwozdz
15.8.2023
Retrieval Augmented Generation RAG KI Was ist RAG
Digital Business

Was ist Retrieval Augmented Generation (RAG)?

Eu AI Act KI-Verordnung
Digital Business

EU AI Act: Was sind die Anforderungen für den Einsatz von KI im Unternehmen?

Was sind KI-Agenten AI-Agent Generative KI ChatGPT
Digital Business

KI-Agenten – Die Architekt:innen der Arbeitswelt von morgen

Partner für digitale Geschäftsmodelles

Ihr sucht den richtigen Partner für eure digitalen Vorhaben?

Lasst uns reden.