Use ChatGPT in your company in compliance with GDPR
ChatGPT unterliegt der DSGVO
Bereits Anfang 2023 startete in Europa die Debatte hinsichtlich des Datenschutzrisikos von ChatGPT. Ein Beispiel ist Italien, wo eine Datenpanne zur Preisgabe persönlicher Informationen in fremden Chats führte und so Nutzergespräche und Zahlungsinformationen geleakt wurden. Nachdem der Datenschutzverstoß bemerkt worden war, wurde ChatGPT für fast einen Monat gesperrt. Die Datenschutzbehörde des Landes warf dem Anbieter OpenAI vor, gegen die geltenden europäischen Datenschutzbestimmungen verstoßen zu haben.
Im Juni diesen Jahres hat dann auch die deutsche Bundesregierung nachgezogen und auf eine kleine Anfrage im Bundestag (Drucksache 20/6835 v. 17.05.2023) reagiert. Die formuliert Antwort erlaubt keinen Raum für Interpretationen:
“Die Verarbeitung personenbezogener Daten durch das ChatGPT betreibende Unternehmen OpenAI unterliegt den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdaten- schutzgesetzes (BDSG).”
Folglich entscheidet die zuständige Datenschutzaufsichtsbehörde, ob und welche Maßnahmen gegenüber OpenAI ergriffen werden können. Grundsätzlich gilt die DSGVO für alle Unternehmen, die personenbezogene Daten automatisiert verarbeiten und/oder Daten von EU-Bürgern nutzen – egal wo sie ihren Sitz haben. Auch große Unternehmen wie Facebook, Google oder wie in diesem Fall OpenAI können sich davon nicht freisprechen.
ChatGPT und die Herausforderungen im Datenschutz
Für viele ist ChatGPT so etwas wie eine große Blackbox - vor allem, wenn es um Datenschutz geht. Für Unternehmen, die sich mit generativer KI und Large Language Models beschäftigen, ist das ein doppeltes Stirnrunzeln: Wie sicher sind die Daten, die man eingibt? Und was passiert eigentlich mit den Infos, die gesammelt werden? Wenn die Mitarbeitenden ChatGPT im Büro nutzen, lässt man OpenAI quasi in seine Daten gucken. Aber die Mehrheit weiß nicht wirklich, welche Daten genau gesammelt werden und zu welchem Zweck.
Wenn Mitarbeitende mit ChatGPT arbeiten, benötigen sie ein Nutzerkonto, für das eine E-Mail-Adresse und eine Mobilfunknummer angegeben werden müssen. Mit der Einrichtung eines Benutzerkontos erlauben sie OpenAI außerdem, Nutzungsdaten zu erfassen, auszuwerten und sogar an Dritte weiterzugeben.
Laut der OpenAI-Datenschutzbestimmung gehören zu den Nutzerdaten unter anderem die Aktionen, die Nutzer ausführen, Informationen über ihre Zeitzone und ihr Land und IP-Adressen. Allerdings erfolgt seitens OpenAI keine Aufklärung darüber, zu welchem Zweck und in welchem Umfang Daten weitergegeben werden. Theoretisch könnte verfolgt werden, dass eine Person z. B. den Chatbot jeden zweiten Tag für Recherchen zu einem spezifischen Thema verwendet. Das stellt Unternehmen datenschutzrechtlich vor eine große Herausforderung, da sie nicht absehen können, in welchem Umfang die Daten ihrer Mitarbeitenden von ChatGPT verfolgt, verarbeitet und an Dritte weitergegeben werden oder was damit passiert.
Wie kann ChatGPT DSGVO-konform im Unternehmen genutzt werden?
ChatGPT findet in zahlreichen Unternehmen immer mehr Anklang, denn die positiven Effekte, wie z. B. bei Recherchen, der Generierung von Ideen oder bei Datenanalysen, sind schnell ersichtlich. Gleichzeitig sehen Datenschutzexperten Handlungsbedarf, um eine Nutzung im Einklang mit der DSGVO sicherzustellen. Das klingt eindeutig nach einem Zielkonflikt, den Unternehmen für sich lösen müssen, wenn sie langfristig von KI-Anwendungen profitieren möchten.
Mit der vor kurzem gelaunchten neuen Version ChatGPT Enterprise verspricht OpenAI seinen Geschäftskunden, neben mehr Leistung, einen höheren Datenschutz. OpenAI versichert zudem, keine Kunden-Prompts und Unternehmensdaten für das Training seiner KI-Modelle zu verwenden. Bekanntlich nutzt das Unternehmen jedoch in seiner kostenlosen und auch in der Abo-Variante die Nutzerdaten für das Training seines Systems - es sei denn, Nutzer:innen haben diese Funktion manuell für sich deaktiviert. Zudem kann selbst bei der Enterprise-Lösung derzeit nicht sichergestellt werden, dass die Nutzungsdaten auf Servern in der EU verbleiben.
Was können Unternehmen also tun, um zu gewährleisten, dass die Mitarbeitenden ChatGPT für ihre Tätgkeiten nutzen können, ohne dabei Kompromisse im Datenschutz einzugehen? Wir haben vier wesentlichen Maßnahmen zusammengetragen, wie Unternehmen Chat-GPT für sich DSGVO-konform nutzen können:
Daten auf EU-Servern hosten
Es empfiehlt sich für das Daten-Hosting Server in der EU auszuwählen, welche den EU-Datenschutzbestimmungen entsprechen und einen einfache Zugriffskontrolle ermöglichen. Das hat den Vorteil, dass die Vorgaben der DSGVO als gesetzliche Grundlage dienen und keine zusätzlichen Nachweise erbracht werden müssen.
Keine Personendaten für das Training von KI-Modellen nutzen
ChatGPT nutzt Daten, um sein Modell zu trainieren. Die eingegebenen Daten sollten daher keinen Personenbezug enthalten. Es reicht aus, anonyme Daten oder Pseudonyme zu nutzen. So bleibt der Zweck der Daten spezifisch und personenbezogene Daten werden von der Modellentwicklung getrennt. Zudem ist es wichtig, die Übernahme von Eingabedaten in das Modell-Training nicht zuzulassen. OpenAI bietet hier bereits spezielle Einstellungen. Inzwischen gibt es aber auch weitere alternative Anbieter wie z. B. Azure ChatGPT, die eine Weitergabe von sensiblen Daten ausschließen.
Transparenz und Vertraulichkeit sicherstellen
Eine Weitergabe oder eine zusätzliche Verarbeitung von persönlichen und sensiblen Daten darf nicht erfolgen. Daten sollten zwingend vertraulich behandelt werden und dürfen nur für den ursprünglich vereinbarten Zweck verwendet werden.
Datensicherheit und Datenschutz ernst nehmen
Generell sollten die Themen Datensicherheit, -Speicherung und Datenmissbrauch im Unternehmens-Regelwerk fest verankert sein. Anbieter von Chat-Assistenten sollten z. B. rechtliche Mindestanforderungen wie DSGVO vollständig erfüllen. Weiterhin sind zusätzliche Zertifizierungen wie z. B. ISO 27001 ein Zeichen für einen guten Datenschutz.
Fazit
ChatGPT hat sich in zahlreichen Unternehmen als wichtiges KI-Tool etabliert. Für Unternehmen ist es nun wichtig, die Nutzung von ChatGPT im Kontext der DSGVO zu betrachten und entsprechende strategische Entscheidungen zu treffen. Obwohl OpenAI mit neuen Versionen von ChatGPT verstärkten Datenschutz verspricht, erfordert die Integration in das eigene Unternehmen und die dazugehörigen Prozesse einen ganzheitlichen Ansatz. Besonders bei der Entwicklung von eigenen Anwendungen, sollte der Datenschutz nicht vernachlässigt werden und mit den notwendigen Maßnahmen einhergehen.