In vielen Unternehmen wird zunehmend der Dienst ChatGPT von Beschäftigten über den Web-Browser oder die mobile App genutzt. Inhalte, die von Nutzenden in den Chat eingegeben werden, werden von OpenAI im Rahmen ihrer Datenschutzbestimmungen verarbeitet. Bei der Nutzung von ChatGPT, werden Daten zu eigenen Zwecken von OpenAI verwendet (z.B. zur Weiterentwicklung und Verbesserung des Dienstes, usw.). OpenAI agiert in dieser Konstellation also nicht als Auftragsverarbeiter, sodass sowohl OpenAI als auch das Unternehmen, in welchem ChatGPT genutzt wird, für die Datenverarbeitung verantwortlich sind. Problematisch ist dabei, dass die Übermittlung personenbezogener Daten an OpenAI nur zulässig ist, wenn eine gültige Rechtsgrundlage vorliegt. In den meisten Fällen wird jedoch eine solche Rechtsgrundlage nicht zweifelsfrei vorliegen oder fehlen ganz. Ein zusätzliches Problem ist die Übermittlung der Daten in die USA. Eine geeignete datenschutzrechtliche Grundlage gemäß Art. 44 ff. DS-GVO für die Übermittlung (z.B. für Beschäftigen- und Kundendaten) liegt für das Consumer-Produkt ChatGPT Stand 03.08.2023 nicht vor.
Um diese vielseitigen Probleme zu umgehen, sollte strikt vermieden werden, über ChatGPT personenbezogene Daten zu verarbeiten. Damit bleiben die DS-GVO und ihre Folgeprobleme nämlich vor der Tür. Unternehmen sind gut beraten, klare Regeln und verpflichtende Dienstanweisungen für die die Nutzung von ChatGPT zu schaffen. Unerlässlich ist es daher die Schulung und Sensibilisierung der Beschäftigten, um die Übermittlung personenbezogener Daten an OpenAI zu vermeiden.
Die Unternehmen, das die OpenAI-API unbedingt nutzen möchte, ist für die Rechtmäßigkeit der Datenverarbeitung im Zusammenhang mit der GPT-Technologie verantwortlich. Es gibt verschiedene Rechtsgrundlagen nach Art. 6 Abs. 1 DS-GVO, die je nach Zweck der Datenverarbeitung herangezogen werden können. Wenn beispielsweise die Verarbeitung der Daten erforderlich ist, um eine von den Kunden angeforderte Leistung zu erbringen, kann das Unternehmen in der Regel eine Erforderlichkeit zur Vertragserfüllung geltend machen. In manchen Fällen kann die Verarbeitung auch auf Grundlage einer Interessenabwägung zulässig sein oder erfordert die vorherige Einwilligung der Kunden. Wichtig ist, dass Sie als Unternehmen Ihre Kunden auf den möglichen Einsatz dieser neuen Technologie und deren Folgen und Risiken hinweisen.
Im Rahmen der Nutzung der OpenAI-Dienste über die API-Plattform entsteht zwangsläufig ein Auftragsverarbeitungsverhältnis zwischen dem Verantwortlichen als Auftraggeber und OpenAI als Auftragsverarbeiter.
Um die entsprechenden Anforderungen der DS-GVO zu erfüllen, stellt OpenAI ein Data Processing Agreement („DPA“) zur Verfügung. Dieses muss gesondert abgeschlossen werden, was über einen elektronischen Signaturprozess erfolgt. Zu beachten ist, dass OpenAI weder fremde DPA noch eine überarbeitete Version des eigenen DPA akzeptiert. Deshalb sollten Unternehmen genau den Einsatz dieser Technologie überdenken.
Bei der Nutzung der OpenAI-API werden die Daten nach eigenen Angaben von OpenAI in den USA verarbeitet. Aus Sicht europäischer Unternehmen sind die USA ein sogenanntes Drittland und die Übermittlung personenbezogener Daten muss auf eine geeignete datenschutzrechtliche Grundlage gemäß Art. 44 ff. DS-GVO gestützt werden.
Im Juli 2023 wurde mit dem EU-U.S. Data Privacy Framework ein Programm ins Leben gerufen, wonach für zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau vorausgesetzt werden kann. Zum heutigen Stand (Anfang August 2023) liegt für die OpenAI OpCo, LLC noch keine Zertifizierung vor. Deshalb gelten diesbezüglich noch die bisherigen Regelungen, da das EU-U.S. Data Privacy Framework bisher nicht zum Tragen kommen. Um das derzeitige Defizit auszugleichen, müssen zusätzlich Standardvertragsklauseln (SCCs) abgeschlossen werden. OpenAI hat die SCCs in sein DPA integriert, um den Datenschutz der übermittelten Daten zu gewährleisten. Im Rahmen der SCCs muss ein sogenanntes Transfer Impact Assessment (TIA) durchgeführt werden und es sind gegebenenfalls zusätzliche technische und organisatorische Maßnahmen zu ergreifen, um den Datenschutz zu gewährleisten.
Wenn Sie die OpenAI-API verwenden, um personenbezogene Daten zu verarbeiten, können damit hohe Risiken für die Betroffenen verbunden sein. Aus diesem Grund ist es möglicherweise zwingend notwendig, eine Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DS-GVO durchzuführen.
Für die Bewertung ist es dabei von großer Bedeutung, zu welchen Zwecken der GPT-Dienst eingesetzt werden soll und wie dieser auf die vorgesehene Nutzung sich begrenzen lässt. Ziel der DSFA ist es, die Risiken für die betroffenen Personen strukturiert zu erkennen und zu bewerten. Die Folge der Auswertung ist dann festzulegen, wie diese Risiken durch technische und organisatorische Maßnahmen beherrscht und auf ein akzeptables Maß reduziert werden können. Eine intensive Beschäftigung mit dem Sicherheitskonzept von OpenAI ist dabei unerlässlich. OpenAI stellt die für die Prüfung erforderlichen Unterlagen auf Anfrage im OpenAI Security Portal zur Verfügung.
Dabei kommt es noch zu einem Nebeneffekt, der auf alle Fälle zu beachten ist. Wenn für den bestimmungsgemäßen Einsatz der GPT-technologie eine DSFA durchgeführt werden muss, ist auch stets ein Datenschutzbeauftragter zu benennen. Diese Benennung ist dann unabhängig von der Unternehmensgröße vorgeschrieben, also auch für kleine Unternehmen mit weniger als 20 Beschäftigten. Hier kommen einige wesentliche Vorteile eines externen Datenschutzbeauftragten zum Tragen, wie beispielsweise Kostenklarheit, Transparenz, Qualifikation, …! Gerne stehen wir als TLC Torsten Lippert Management & Consulting gerne als vertraglich gebundener externer Datenschutzbeauftragter für Ihr Unternehmen zur Verfügung.
Wenn Unternehmen die OpenAI-API nutzen, müssen sie ihren Kunden und Nutzern die Datenverarbeitung im Zusammenhang mit der Verwendung von OpenAI-Diensten transparent machen. Dies geschieht in der Regel durch Datenschutzhinweise nach Art. 13 DS-GVO.
Es ist jedoch nicht ausreichend, wenn das Unternehmen lediglich auf die Datenschutzrichtlinien von OpenAI verweist, da diese nur für Nicht-API-Inhalte gelten. Stattdessen muss das Unternehmen eigenständig darüber informieren, wie und zu welchen Zwecken die Daten der Kunden und der Unternehmen und dessen Auftragsverarbeitern (insbesondere OpenAI) verarbeitet werden, wie lange diese gespeichert werden und wann sie gelöscht werden. Darüber hinaus muss den Kunden transparent gemacht werden, wie sie ihre Betroffenenrechte aus Art. 12-21 DS-GVO ausüben können.
Abschließend kann allgemein zusammengefasst werden:
Um personenbezogene Daten über die OpenAI-API zu verarbeiten und dabei die Anforderungen der DS-GVO zu erfüllen, sind folgende Schritte erforderlich:
Rechtmäßigkeit der geplanten Datenverarbeitung sicherstellen
Mit OpenAI den Vertrag zur Auftragsverarbeitung mit EU-Standardvertragsklauseln abschließen
Transfer Impact Assessment durchführen und dokumentieren
ggf. eine Datenschutz-Folgenabschätzung durchführen und dokumentieren
Risikoadäquate technische und organisatorische Maßnahmen der Datensicherheit umsetzen
Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten dokumentieren
Betroffene Personen über die Datenverarbeitung mittels GPT-Technologie im Rahmen der eigenen Datenschutzerklärung informieren
In den Medien wurde viel über Verbote, Regulierungsmaßnahmen und Risiken berichtet. Für Unternehmen, die die OpenAI-API nutzen wollen oder wegen der Wettbewerbssituation müssen, gibt es jedoch durchaus Möglichkeiten, die GPT-Technologie datenschutzkonform in die eigenen Produkte und Dienste zu integrieren. Es ist zu empfehlen, die Datenschutzkonformität bereits bei der Planung der Integration GPT-Technologie mitzudenken, was auch die DS-GVO mit ihrem privacy-by-design Grundsatz vorsieht. Schließlich ist es wichtig, den grundsätzlichen Umgang mit KI bei der Verarbeitung personenbezogener Daten im Unternehmen im Voraus zu klären und genaustens zu definieren. Transparente Dokumentationen, Richtlinien und Mitarbeiterschulungen sollten hier einen wirksamen Rahmen aufzeigen, um einen verantwortungsbewussten und rechtmäßigen Umgang mit dieser Technologie sicherzustellen.