Das Thema
Generative künstliche Intelligenz (KI) ist spätestens seit ChatGPT (Chatbot Generative Pre-trained Transformer) in aller Munde. Das Potenzial, unternehmensinterne Prozesse zu beschleunigen, den zunehmenden Personalmangel auszugleichen und Kosten zu sparen, ist sehr groß. Immer mehr Unternehmen setzen deshalb generative KI wie ChatGPT bereits ein. Allerdings haben die europäischen Datenschutzbehörden erhebliche datenschutzrechtliche Bedenken geäußert: So haben die deutschen Datenschutzbehörden ein Verwaltungsverfahren gegen die kalifornische Entwicklerfirma OpenAI eingeleitet und ihr einen Fragenkatalog zukommen lassen. In Italien hingegen wurde ChatGPT sogar vorübergehend gesperrt. Es stellt sich somit die Frage: Kann ChatGPT überhaupt datenschutzkonform eingesetzt werden?
Datenschutzbehörden sind kritisch
Die Reaktion der europäischen Datenschutzbehörden auf ChatGPT war vehement. Allen voran hatte die italienische Datenschutzbehörde Ende März 2023 ChatGPT wegen erheblicher datenschutzrechtlicher Defizite zeitweise sperren lassen. OpenAI fehle es vor allem an der Rechtsgrundlage für die Verarbeitung personenbezogener Daten, mangels Transparenz sei auch keine wirksame Einwilligung möglich. Zudem sei der Jugendschutz nicht gewährleistet, da die Altersverifikation von ChatGPT unzureichend sei. Die italienische Datenschutzbehörde forderte die Behebung dieser Defizite. OpenAI reagierte auf die Forderungen. So wurde unter anderem eine vorgeschaltete Altersprüfung für einheimische neue Nutzer eingeführt. Ein neues Formular erlaubte es Nutzern in der Europäischen Union zudem, Widerspruch gegen die Verwendung ihrer personenbezogenen Daten einzulegen. Daraufhin war ChatGPT in Italien wieder zur Nutzung verfügbar.
Ein direktes Vorgehen in Form einer Sperrung gab es in Deutschland bislang noch nicht. Allerdings haben der Hessische Beauftragte für Datenschutz und Informationsfreiheit, der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit sowie die Landesbeauftragten für den Datenschutz und die Informationsfreiheit der Länder Baden-Württemberg, Rheinland-Pfalz und Schleswig-Holstein in Absprache ein Untersuchungsverfahren eingeleitet.
Zudem haben die Datenschutzbehörden aller Bundesländer OpenAI Mitte April 2023 einen über 40 Fragen umfassenden Fragenkatalog zukommen lassen. Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein veröffentlichte, dass die ursprünglich bis zum 07.06.2023 gesetzte Frist auf Antrag von OpenAI vom 01.06.2023 auf unbestimmte Zeit verlängert wurde. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein kündigte an, die Unterlagen und die Kommunikation zu ChatGPT auf seiner Website zu veröffentlichen.
Viele offene Fragen
Die Fragenkataloge sollen klären, ob und wie die Algorithmen von ChatGPT mit den Vorgaben der Datenschutz-Grundverordnung vereinbar sind. OpenAI soll daher zunächst grundlegende Fragen beantworten, inwiefern personenbezogene Daten verwendet werden oder wie die Betroffenenrechte auf Auskunft und Berichtigung der eingegebenen personenbezogenen Daten eingehalten werden.
Unklar erscheint bislang, ob minderjährige Nutzer überhaupt einer Kontrolle unterliegen und welche Mechanismen den Jugendschutz gewährleisten. Auch stellt sich die Frage, welche Quellen OpenAI nutzt und woher die verarbeiteten personenbezogenen Daten stammen, die zum Training der generativen KI genutzt werden. Zudem ist fraglich, ob über Trackingverfahren ein Nutzerprofil erstellt werden kann und falls ja, wie dieses weiterverwendet wird und ob es löschbar ist. Schließlich fordern die Datenschutzbehörden der Länder die Vorlage einer Datenschutzfolgeabschätzung oder, für den Fall, dass eine solche nicht vorliegt, die Angabe einer entsprechenden Begründung. Auch gilt es zu klären, da die verarbeiteten Daten zumindest auch auf Servern in den USA gespeichert werden, ob und wie OpenAI ein angemessenes Datenschutzniveau bei der Datenverarbeitung sichergestellt hat.
Wie es weitergehen könnte
Die nächsten Schritte der deutschen Datenschutzbehörden hängen maßgeblich davon ab, wie die Antworten von OpenAI ausfallen. Hierbei wird auch entscheidend sein, inwiefern OpenAI bereit ist, den Umgang mit personenbezogenen Daten an die Datenschutz-Grundverordnung anzupassen.
Die Befugnisse der deutschen Datenschutzbehörden ergeben sich aus Art. 58 Datenschutz-Grundverordnung. Demnach haben sie die Option, OpenAI lediglich auf Verstöße hinzuweisen. Wahrscheinlicher dürfte es aber sein, dass – ähnlich wie in Italien – Maßnahmen zum Schutz der Betroffenen vorgegeben werden, welche unter Androhung einer Sperrung oder der Verhängung von Bußgeldern zwingend umzusetzen sind.
Doch nicht nur in Europa wird der Umgang mit Daten durch ChatGPT kritisch diskutiert. In den USA haben mehrere Personen gemeinsam eine Klage gegen OpenAI, weitere OpenAI Firmen, Microsoft Corporation, Investoren und Kooperationspartner eingereicht. Sie behaupten, dass OpenAI heimlich viele Milliarden Wörter aus dem Internet gestohlen habe, unter denen auch personenbezogene Daten seien. Diese persönlichen Informationen seien zur Fortentwicklung von ChatGPT, GPT-3,5 und 4 verwendet worden, ohne dass eine Einwilligung der Betroffenen eingeholt worden sei. Vor allem seien Daten von Kindern und Jugendlichen verarbeitet werden, die auch nach dem California Consumer Privacy Act (CCPA) besonders schützenswert seien. Es bleibt abzuwarten, wie die U.S. Justiz diesen Fall bewertet.
Vor dem Hintergrund dieser Untersuchungen sollten Unternehmen, die ChatGPT nutzen wollen, gesunde Vorsicht im Hinblick auf die Art des Einsatzes walten lassen: Denn aufgrund der aktuell äußerst unsicheren Rechtslage ist zu empfehlen, ChatGPT zumindest nicht bei sensiblen Verarbeitungsvorgängen, wie beispielsweise der Erstellung von Arbeitszeugnissen oder Kündigungsschreiben, einzusetzen. Je sensibler die verarbeiteten personenbezogenen Daten sind, desto eher empfiehlt es sich, die Bewertung der Datenschutzbehörden noch abzuwarten und gegebenenfalls von den Schutzmaßnahmen zu profitieren, welche OpenAI voraussichtlich noch implementieren wird.
Fazit
Nach aktuellem Stand sollten sich Unternehmen darauf vorbereiten, dass die deutschen Datenschutzbehörden ChatGPT in der heutigen Form nicht als datenschutzkonform einstufen werden. Vielmehr ist damit zu rechnen, dass OpenAI erst weitere Schutzmaßnahmen implementieren muss. Es sollte detailliert abgewogen werden, ob und wofür der Einsatz von ChatGPT daher sinnvoll ist, denn es drohen auch dem anwendenden Unternehmen Sanktionen wie die Unterbindung der Datenverarbeitung oder die Verhängung von Bußgeldern. Daneben können Schadensersatzforderungen von Betroffenen (z.B. Mitarbeitern) auf Unternehmen zukommen. Auch wenn in Deutschland auf absehbare Zeit nicht mit einer Sperrung von ChatGPT zu rechnen ist, ist eine risikofreie Nutzung der Plattform für Unternehmen aus heutiger Sicht nicht möglich.