Vertragen sich ChatGPT und europäischer Datenschutz?

Zugegeben: Die Dialoge mit ChatGPT machen Spaß. Aber vergessen wir dabei nicht den Datenschutz?

Wir haben in unserem Blogbeitrag vom 1. März einen Einblick in unseren teaminternen ChatGPT-Test gegeben. Zunächst möchten wir jedem Unternehmen und jedem Team ans Herz legen, gemeinsam die Möglichkeiten und Anwendungsbereiche des OpenAI-Playgrounds und gezielt der Interaktion mit ChatGPT anzuschauen und auszuprobieren. 

Bislang findet man noch herzlich wenig seitens offizieller Stimmen, seien es nun Datenschutzkanzleien oder Aufsichtsbehörden, zur Vereinbarkeit von ChatGPT als Dienst und dem europäischen Standard an Datenschutz. Es scheint so, als wolle man sich erstmal anschauen, welche Anwendungsmöglichkeiten tatsächlich regelmäßig Einzug in Unternehmensprozesse finden. 

Und hier gilt es dann eben zu beachten: Sobald personenbezogene Daten verarbeitet werden, steht man unter dem erhobenen Zeigefinger der DSGVO und muss genau hinschauen. 

Zugegeben: Wir haben seit Kurzem in unseren Teammeetings auch die Funktion der Textzusammenfassung und Speech-to-text genutzt. Dabei haben wir dann aber auch besonders aufgepasst, weder Namen von Mitarbeitern, sensible Daten wie Gesundheits- oder Urlaubsinformationen, oder auch Kunden zu besprechen, die anhand der Informationen eindeutig zugeordnet werden könnten. 

ChatGPT ist ein Dienst des Unternehmens OpenAI mit Sitz in San Francisco. Um das zur Verfügung stehende Level an Datenschutz beurteilen zu können, muss man einen genauen Blick auf die Terms of Use (Allgemeinen Geschäftsbedingungen) und DPA (Data Processing Addendum) werfen. Die Datenschutzrichtlinien von OpenAI wurden zuletzt am 14.03.23 aktualisiert.

OpenAI versteht sich als Auftragsverarbeiter, somit sind wir als Nutzer die Verantwortlichen (Controller) im Sinne der DSGVO und dem TTDSG. Der Controller entscheidet über den Zweck der Verarbeitung und muss darüber informieren. Aber eigentlich wäre hier zumindest eine geteilte Verantwortung wichtig, denn OpenAI nutzt die eingegebenen Prompts zum weiteren Lernen und ‘Füttern’ der KI. Diesen Zweck verfolgt und entscheidet OpenAI, formuliert es im DPA aber so, als seien sie von ihren Nutzern damit beauftragt (u.a.) das Language Model weiterzuentwickeln. Das ist eine geschickte Formulierung, und natürlich haben die Endnutzer dadurch Vorteile, aber diesen speziellen Zweck hat eindeutig OpenAI entschieden und verfolgt damit eigene Interessen.

Art. 26 der DSGVO sieht eine gemeinsame Verantwortung und entsprechende Vereinbarungen vor. Hier könnte es also schonmal schwierig werden, wenn sich Aufsichtsbehörden oder Organisationen wie zum Beispiel NOYB einschalten. 

Außerdem hat OpenAI zwar einen Datenschutzbeauftragten in San Francisco bestellt, allerdings keinen europäischen Vertreter, der nach Art. 27 der DSGVO eigentlich vorgesehen ist. 

Ein weiterer Punkt ist der fehlende Opt-Out zur Verarbeitung der eigenen Daten. In der API kann man widersprechen, dass die eingegebenen Daten für eigene Zwecke (also das weitere Lernen der KI) genutzt werden können. Für ChatGPT gibt es diese Möglichkeit aber anscheinend nicht. 

Und wie sieht es mit der Umsetzung der Betroffenenrechte aus? Laut DSGVO hat man das Recht auf Auskunft über die gespeicherten Daten sowie auf Löschung der eingegebenen Daten. Hier zeigt sich sehr deutlich das so genannte Black-Box-Problem:

Das System, mit dem ChatGPT intelligent weiter lernt, ist überaus komplex und die Algorithmen dynamisch. Deshalb kann nach der Eingabe von personenbezogenen Daten nicht mehr nachvollzogen werden, wie diese Daten für das Erstellen neuer Anfragen weiterverarbeitet wurden. Das macht natürlich auch eine Löschung unmöglich.

Was sagen denn die Landesdatenschutzbeauftragten der Bundesländer zum Thema ChatGPT? Bislang haben nur zwei Bundesländer einen Tätigkeitsbericht in diesem Jahr veröffentlicht: Baden-Württemberg am 10.02.23 und Schleswig-Holstein am 15.03.23. 

Während Baden-Württemberg noch ähnliche Bedenken äußert, wie wir in diesem Blogbeitrag, hat sich Schleswig-Holstein sogar beim Schreiben des entsprechenden Teils zum Umgang mit KI von ChatGPT “helfen” lassen. (Wenn auch mit einem zwinkernden Auge.) 

Bei der Sammlung der folgenden Punkte zum technischen Fortschritt in diesem Jahrzehnt hat der Chatbot ChatGPT „mitgeholfen“ – und wie zu erwarten war, nennt er (oder sie oder es?) die künstliche Intelligenz an erster Stelle (…)

Schreibt das nächste Jahr ChatGPT diesen Bericht? Nein, sicherlich nicht. Der Chatbot ist zwar recht eloquent, aber er nimmt es mit Fakten nicht so genau oder argumentiert mit „erfundenen“ zusätzlichen Aspekten, die mit der Aufgabenstellung oder dem Sachverhalt gar nichts zu tun haben. Als Leserin oder Leser ist es manchmal gar nicht einfach festzustellen, welche Stellen Quatsch und welche ganz brauchbar sind. Werden wir künftig Beschwerden oder Stellungnahmen erhalten, die mit ChatGPT verfasst wurden? Ja, davon müssen wir ausgehen. Wenn die Absender sich nur sprachlich haben helfen lassen und sie gewährleisten, dass die Darstellungen korrekt sind, ist daran nichts auszusetzen.

41. Tätigkeitbericht der Landesdatenschutzbeauftragten, Schleswig-Holstein (Seite 22 u. 23), veröffentlicht am 15.03.2023

Welche Implikationen hat unsere heutige Überschrift für europäische Unternehmen? 

Müssen Datenschutzhinweise in Bezug auf ChatGPT angepasst werden? 

Wenn die Verarbeitung von Daten auf der Webseite (zum Beispiel ein Chatbot) mit OpenAI verknüpft ist, muss auf jeden Fall auch über die Zwecke von OpenAI informiert werden. Es kommt aber auf den individuellen Fall an. Bei neuen Seitenbesuchen muss man die Einverständnisse der Nutzer einholen. Wahrscheinlicher ist es aber, dass Unternehmen durch die Nutzung von KI neue Möglichkeiten haben, um bereits erhobene Daten verarbeiten zu können. In diesem Fall handelt es sich um eine Zweckänderung. Das heißt, man müsste proaktiv auf die Datengeber (also die Nutzer) zugehen, damit diese der neuen Art der Nutzung zuzustimmen.

Wichtig ist die Transparenz, die nicht nur die DSGVO, sondern auch der gesunde Menschen- (und nicht der künstliche) Verstand fordert.

Noch ein kleiner Ausblick zu unserem Umgang und der Bewertung von KI: Wir haben zwar in den vergangenen Monaten mehrfach über ChatGPT berichtet, doch wir informieren uns auch umfangreich über Alternativen. Beispielsweise testen wir gerade die angeblich beste europäische KI namens „Luminous„, entwickelt von ALEPH ALPHA (Sitz in Heidelberg). Die KI basiert, wie ChatGPT, auf einem Transformer-Sprachmodell, das allerdings doppelt so groß wie GPT-3 sein soll. Außerdem bilden mehr deutsche und europäische Inhalte die Grundlage für das Training der KI.

Natürlich werden wir auch hier zeitnah über unsere Erfahrungen berichten.