ChatGPT und Datenschutz: Was Sie wissen sollten

Aktuell nehmen deutsche Datenschutzbehörden ChatGPT verstärkt unter die Lupe, nachdem die italienische Datenschutzbehörde (GPDP) den Chatbot vorübergehend verboten hatte. Der Grund: OpenAI, der Anbieter von ChatGPT, konnte keine ausreichende Rechtsgrundlage für die Datensammlung nachweisen, informierte Nutzer nicht ausreichend über die Verarbeitung ihrer Daten und bot keinen wirksamen Schutz für Jugendliche. Eine Datenpanne, bei der unter anderem Zahlungsinformationen und Gesprächsdaten offengelegt wurden, verschärfte die Lage.

Datenschutzbedenken rund um ChatGPT in Deutschland

Auch in Deutschland sehen Datenschützer ChatGPT kritisch. Die Hauptprobleme betreffen die Transparenz der Datenverarbeitung, die unbekannten Datenquellen sowie die Unsicherheiten über die Algorithmen, die die automatisierte Verarbeitung steuern. Besonders besorgniserregend ist, dass ChatGPT Nutzereingaben möglicherweise für Trainingszwecke nutzt, was sensible oder persönliche Informationen einschließen kann. Das widerspricht den zentralen Prinzipien der Datenschutz-Grundverordnung (DSGVO), wie der Zweckbindung und Datenminimierung.

Unternehmen und ChatGPT: Rechtliche Gegebenheiten.

Der AI Act teilt KI-Systeme in vier Risikokategorien ein: unzulässiges Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko.

ChatGPT und ähnliche generative KI-Systeme fallen derzeit in die Kategorie des begrenzten Risikos. Das bedeutet, dass sie bestimmten Transparenzpflichten unterliegen, ohne jedoch den strengen Auflagen für Hochrisiko-Anwendungen zu unterfallen. Insbesondere müssen Nutzer darüber informiert werden, dass sie mit einer KI interagieren, und die Funktionsweise der KI sollte transparent dargestellt werden.

Wichtig ist, dass der AI Act keine expliziten Verbote oder drastischen Einschränkungen für generative KI wie ChatGPT vorsieht, solange diese den Anforderungen an Transparenz und fairen Umgang mit Nutzerdaten genügen. Unternehmen, die ChatGPT einsetzen, müssen darauf achten, diese Anforderungen zu erfüllen, insbesondere bei der Verarbeitung personenbezogener Daten, um die Vorgaben des AI Acts einzuhalten.

Datenübermittlung in die USA: Ein Problemfall

Da OpenAI in den USA ansässig ist, werden bei der Nutzung von ChatGPT personenbezogene Daten in ein Drittland außerhalb der EU übermittelt. Die DSGVO schreibt in solchen Fällen ein hohes Schutzniveau vor. Solange sich Open AI nicht nach dem Date Privacy Framework zeritifiziert hat, haben Sie im Falle der Verarbeitung von personenbezogenen Daten Standardvertragsklauseln abzuschließen und entsprechend Klausel 14 eine Art Risikobewertung der angestrebten Datenübermittlung (sog. ransfer Impact Assessment) durchzuführen. Unternehmen, die ChatGPT einsetzen möchten, sollten vorab genau prüfen, wie OpenAI den Datenschutz handhabt und welche Maßnahmen sie ergreifen können, um das Risiko zu minimieren.

Wichtige Empfehlungen für Unternehmen

Trotz der Unsicherheiten wird ChatGPT von vielen Unternehmen aktiv genutzt oder zumindest in Betracht gezogen. Hier sind einige Empfehlungen, um die Nutzung möglichst datenschutzkonform zu gestalten:

  • Eingabe sensibler Daten vermeiden: Da unklar ist, wie OpenAI Nutzereingaben verarbeitet, sollten keine personenbezogenen oder vertraulichen Informationen eingegeben werden.
  • Datenschutzbeauftragte einbeziehen: Vor dem Einsatz sollten Unternehmen unbedingt ihren Datenschutzbeauftragten konsultieren, um die rechtliche Lage zu klären und eventuell notwendige Maßnahmen zu ergreifen.
  • Transparenz und Betroffenenrechte sicherstellen: Unternehmen müssen sicherstellen, dass Nutzer ihre datenschutzrechtlichen Rechte wie Auskunft oder Löschung geltend machen können – auch bei der Nutzung von ChatGPT.

Fazit

ChatGPT bietet faszinierende Möglichkeiten, doch der datenschutzrechtliche Rahmen ist derzeit noch nicht ausgereift. Für Unternehmen ist es daher ratsam, bei der Verarbeitung von personenbezogenen Daten Vorsicht walten zu lassen und die Nutzung von ChatGPT nur nach sorgfältiger Abwägung der Risiken und in Abstimmung mit Datenschutzexperten zu erwägen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in