ChatGPT & Co vs. Datenschutz

Nicht erst seit gestern und doch mit immer größerer Präsenz aktuell: KI-Anwendungen und allen voran „ChatGPT“. Die Anwendungen bringen auf der einen Seite viel Zukunftspotential mit sich, auf der anderen Seite auch viele Rechtsfragen nach Haftung, Urheberrecht und dem Datenschutzrecht. Zeit für mehr Klarheit!

Übersicht

  1. Personenbezogene Daten
  2. Auftragsverarbeiter oder Verantwortlicher?
  3. Lösungsansatz und Rechtsgrundlagen
  4. SCCs & TIA
  5. Verbot in Italien und deutsche Aufsichtsbehörden
  6. Fazit, Checkliste und Dienstanweisung

Personenbezogene Daten

Aus Sicht der Datenschutzbehörden stellen die Algorithmen hinter ChatGPT & Co eine „Blackbox“ dar. Diese Intransparenz ist vor allem deswegen ein Problem, weil es bedeutet, dass die Anwendung der künstlichen Intelligenz, um diese zu trainieren, bereits über Jahre Informationen – personenbezogene Daten inbegriffen – gesammelt habt und das ohne die Einwilligung der Betroffenen. Und nach eigenen Angaben lernt sie ja auch mit jeder weiteren Eingabe mehr dazu.

Davon auszugehen, dass die entsprechenden Unternehmen hinter ChatGPT & Co die nötigen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten hat und hatte, ist fraglich. Fragt man zwar beispielsweise ChatGPT selbst, bekommt man die Antwort, dass vorher eine Anonymisierung sämtlicher Trainingsdaten und die Entfernung aller personenbezogenen Kennungen und Merkmale stattfand. Eine Überprüfung dessen ist jedoch nicht möglich. Und selbst wenn es zutreffen sollte, so ist bereits für den Anonymisierungsvorgang eine Rechtsgrundlage notwendig, die in Art. 6 Abs. 1 DSGVO doch nur schwer zu finden wäre.

Auftragsverarbeiter oder Verantwortlicher?

OpenAI, das Unternehmen hinter ChatGPT, sieht sich laut seinen AGB im Anwendungsbereich der DSGVO zwar selbst als Auftragsverarbeiter, ist aber eigentlich gemeinsam Verantwortlicher. Wären sie tatsächlich Auftragsverarbeiter, wäre es eine angenehme Lösung für sie, da nicht sie, sondern der Verantwortliche, also der Nutzer selbst, für die Rechtmäßigkeit der Verarbeitung zuständig wäre. Und im Sinne der DSGVO sind die Nutzer auch tatsächlich Verantwortlicher. Zwecke und Mittel der Verarbeitung werden allerdings gemeinsam mit dem KI-Betreiber bestimmt. So ist auch die Überarbeitung und Verbesserung der Künstlichen Intelligenz ein „Mit-Zweck“. Es liegt also eine gemeinsame Verantwortlichkeit von Nutzer und Betreiber vor, weswegen eigentlich auch eine Vereinbarung über die gemeinsame Verantwortlichkeit von Nöten wäre. Unwahrscheinlich, dass wir diese mit OpenAI bzw. Microsoft schließen können.

OpenAI

Lösungsansatz und Rechtsgrundlagen

Die Argumentation, dass der Nutzer ChatGPT & Co wie auch eine Suchmaschine nutzt, könnte eine Lösung dieses Dilemmas sein. Und bei Suchmaschinen wird weder nach einem Auftragsverarbeitungsvertrag noch nach einer Vereinbarung über die gemeinsame Verantwortlichkeit gefragt. Dennoch sollte dieses Argument mit Vorsicht zu genießen sein, da die Frage nach der Rechtsgrundlage noch offen ist.

Bei Text-Eingabe des Nutzers ist es datenschutzrechtlich grundsätzlich zu empfehlen, auf personenbezogene Daten zu verzichten, da diese von den KI-Betreibern gespeichert werden. Bei Eingabe ohne personenbezogene Daten könnte Art. 6 Abs. 1 Satz 1 Buchst. b DSGVO Anwendung finden. Bei einer Nutzung im / durch Unternehmen und Organisationen scheiden die Buchstaben a bis e eher aus, sodass hier nur noch Buchstabe f (= berechtigtes Interesse) bliebe. Das berechtigte Interesse gegenüber den überwiegend schutzwürdigen Interessen des Betroffenen gegenüber scheitert dann allerdings doch – vor allem hinsichtlich der mangelnden Transparenz der Datenverarbeitung. Und genau die wird grundlegend in der DSGVO (Art. 5 Abs. 1 Buchst. a DSGVO) gefordert. Und selbst wenn diese gegeben wäre, so würde dennoch das Problem der fehlenden Löschbarkeit nicht gelöst wäre.

Darüber hinaus hat das Unternehmen OpenAI keine Niederlassung in Europa. Eine Geltendmachung von Betroffenenrechten und auch Rechtsdurchsetzung durch europäische Aufsichtsbehörden ist demnach schier unmöglich. OpenAI hat zwar seit März gem. Art 27 DSGVO einen Vertreter benannt und bietet in seiner Datenschutzerklärung (Stand April 2023) die Möglichkeit Betroffenenrechte geltend zu machen, umfasst aber dennoch nicht die Betroffenenrechte gem. Art. 17, 18 und 21 DSGVO.

SCCs & TIA

Da die Server von ChatGPT ausschließlich außerhalb der EU bzw. des Europäischen Wirtschaftsraums liegen, sind hier zur Datenübermittlung an Drittländer entsprechende Garantien notwendig. Da die personenbezogenen Daten auch zur Weiterentwicklung und Verbesserung genutzt werden, können wir von einer Datenübermittlung in die USA ausgehen. Daher sind Standardschutzklauseln (SCCs) abzuschließen und ein Transfer Impact Assessment (TIA) durchzuführen. OpenAI selbst stellt jedoch bislang keine vorgefertigten Templates zur Verfügung.

Verbot in Italien und deutsche Aufsichtsbehörden

Ende März ist die italienische Datenschutzbehörde als erste Behörde gegen ChatGPT tätig geworden und hat außerdem zuvor per Verfügung (gem. Art 58 Abs. 2 Buchst. F DSGVO) gegenüber dem KI-Entwickler und -Betreiber Luca Inc. den Einsatz des KI-gestützten Chatbots „Replika“ in Italien verboten. Begründung dessen waren neben dem fehlenden Jugendschutz auch mangelnde Transparenz der Datenverarbeitung im Hintergrund und fehlende ausreichende Rechtsgrundlagen zur Nutzung.

In Rheinland-Pfalz sieht die Behörde vor allem ein Problem beim Thema „Blackbox“.
In Baden-Württemberg verweist der aktuelle Tätigkeitsbericht für Datenschutz und Informationsfreiheit vor allem auf Widersprüche von ChatGPT & Co in Bezug auf die Grundprinzipien der DSGVO hin (Transparenz, Datenminimierung und Speicherbegrenzung). Gleichzeitig hebt der Bericht auf Potentiale hervor: „Neben diesen Herausforderungen bietet KI aber auch für den Datenschutz und die Arbeit der Aufsichtsbehörden enorme Potentiale. […] KI könnte außerdem etwa Verantwortliche bei der Erstellung einer Datenschutzfolgenabschätzung unterstützen – oder auch Aufsichtsbehörden helfen, die Vielzahl an Eingaben effektiver zu bearbeiten.“ (Quelle, S.24)

Der EDSA hat Mitte April beschlossen, eine Task Force zu ChatGPT auf europäischer Ebene einzurichten.

Fazit

Grundsätzlich kann man sagen, dass sich die Nutzung von ChatGPT & Co zwar datenschutzfreundlicher, nicht aber datenschutzkonform gestalten lässt.

Die Frage nach Verantwortlichkeit und Pflichterfüllung der DSGVO greift nicht erst durch Nutzung des Chatbots, sondern auch bereits bei der Verwendung in Produkten von Anbietern wie Google, SAP, Microsoft etc., da die KI-Anwendungen wegen Programmierung und Dazulernen auch auf personenbezogene Daten zugreift und dabei weder das Recht auf informationelle Selbstbestimmung noch das Persönlichkeits- oder Urheberrecht beachtet.
Die Positionierung des Europäischen Datenschutzausschusses (EDS) und die Verhandlung des AI Acts werden  maßgeblich von Bedeutung für die Nutzung von ChatGPT & Co in Zukunft sein.

Eine Checkliste im Excel-Format zu risikominimierenden Maßnahmen bei KI-Anwendungen finden Sie hier.
Eine Dienstanweisung zur Nutzung von ChatGPT können Sie bei uns erhalten. Schreiben Sie uns dafür gerne einfach eine E-Mail.
Haben Sie darüber hinaus weitere Fragen, dann melden Sie sich auch gerne für weitere Unterstützung bei uns.

Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 05/2023

Schreibe einen Kommentar