Stell dir vor, du nutzt ChatGPT, um einen Artikel über ChatGPT und Datenschutz zu schreiben. Da kann eigentlich nicht viel schiefgehen. Das gilt jedenfalls, wenn man verifizieren kann, ob der Output stimmt. ChatGPT kann aber viel mehr und vermutlich nutzt du oder deine Mitarbeitenden das Tool auch schon ausgiebig. Solange ich ChatGPT für allgemeine Anfragen nutze, ohne personenbezogene Daten, ist das alles unproblematisch. Spannend wird das Thema, wenn doch personenbezogene Daten ins Spiel kommen. Dann musst du dir über das Thema Gedanken machen. In diesem Beitrag gebe ich dir einen Überblick darüber, worauf du bei ChatGPT und Datenschutz achten musst.

Datenschutzrechtliche Einordnung von ChatGPT

ChatGPT basiert auf maschinellem Lernen und verarbeitet große Mengen an Daten. Sobald personenbezogene Daten involviert sind, greift die Datenschutz-Grundverordnung (DSGVO).

Beim Einsatz von ChatGPT musst du grundsätzlich zwei Szenarien unterscheiden.

Daten aus ChatGPT

Einmal geht es um die Daten, die bereits in ChatGPT enthalten sind, also Daten, die zum Anlernen von ChatGPT genutzt wurden. Auch hier können bereits personenbezogene Daten enthalten sein. Und vermutlich wurden auch personenbezogene Daten zum Anlernen genutzt. Auf diese Daten hast du relativ wenig Einfluss. Ob diese Daten legal oder illegal zum Anlernen genutzt wurden, wird aktuell heftig diskutiert. Du hast hier relativ wenig Einfluss darauf. Allerdings musst du dir Gedanken machen, wenn der Output von ChatGPT personenbezogene Daten enthält. In diesem Fall musst du dich fragen, ob du diese Daten verwenden darfst. Die Frage ist leider nicht leicht zu beantworten. Einerseits kannst du nicht nachprüfen, ob die Daten rechtmäßig durch ChatGPT verarbeitet wurden. Das ist schon die erste Hürde. Andererseits musst du nachvollziehen, ob die Daten, die du hier verarbeitest, korrekt sind. Ich wäre insofern vorsichtig mit Daten, die von ChatGPT geliefert werden.

Daten, die du in ChatGPT eingibst.

Ein ganz anderes Thema, sind die Daten, die du oder deine MA möglicherweise in ChatGPT eingeben. Dieser Punkt ist vermutlich für dich viel wichtiger im praktischen Umgang mit ChatGPT und Datenschutz. Dabei ist es egal, ob du die Daten direkt eingibst oder die Daten über ein Dokument eingelesen werden. Gerade bei Dokumenten ist die „Gefahr“ besonders groß, dass aus Versehen Daten verarbeitet werden. Das kann zum Beispiel passieren, wenn du ein PDF in ChatGPT hochhältst und dort personenbezogene Daten übersehen hast.

Nutzt ChatGPT die Daten, die du eingibst?

Wenn die Daten einmal bei ChatGPT gelandet sind, ist die Frage, ob diese auch von ChatGPT zu eigenen Zwecken genutzt werden. OpenAI stellt dazu auf seiner Seite ausdrücklich klar, dass Daten unter Umständen für das Anlernen der Modelle genutzt werden:

Does OpenAI use my content to improve model performance?

We may use content submitted to ChatGPT, DALL·E, and our other services for individuals to improve model performance. For example, depending on a user’s settings, we may use the user’s prompts, the model’s responses, and other content such as images and files to improve model performance.

Quelle: Does OpenAI use my content to improve model performance?

Insofern musst du davon ausgehen, dass OpenAI die Daten zum Anlernen von ChatGPT verwendet. Wie genau OpenAI die eingegebenen Daten nutzt, ist hier beschrieben: „How your data is used to improve model performance“. Im schlimmsten Fall „erfährt“ ChatGPT also etwas Neues über die einzelne Person und lernt das Modell mit den Daten an.

Was ist so problematisch an der Verarbeitung?

Man könnte jetzt sagen: „O. K. Dann lernt ChatGPT eben etwas Neues über eine Person, was soll’s?“ Aber gerade bei sensiblen Informationen kann das Böse ins Auge gehen. Stell dir einmal vor, du lässt eine Kündigung für deinen Mitarbeiter durch Chat schreiben. Dort nennst du sensible Informationen, die zwar eine Kündigung rechtfertigen. Diese Informationen würdest du aber nie gegenüber einem Dritten offenbaren. Ein neuer potenzieller Arbeitgeber nutzt Chat nun, um etwas über diesen MA herauszufinden und entdeckt genau diese Informationen. Das kann am Ende richtig nach hinten losgehen. Im schlimmsten Fall drohen hier Schadensersatzansprüche. Wie wahrscheinlich ein solches Szenario ist, kann ich aktuell nicht seriös abschätzen. Fakt ist aber, dass Chat mit bestimmten Daten lernt und ggf. auch mit deinen Eingaben. Wenn du jetzt geheime Informationen dort eingibst, die auch nur du kennst, kann das problematisch werden.

Kann ich die Verarbeitung von personenbezogenen Daten durch ChatGPT verhindern?

ChatGPT ermöglicht dir, die Nutzung der Daten für Trainingszwecke zu untersagen. Die Einstellung findest du unter:

Einstellungen > Datenkontrollen > Das Modell für alle verbessern > Aus

Ob ChatGPT die Daten damit wirklcih nicht nutzt, kann man nicht ohne Weiteres nachprüfen. Hier musst du dich auf die Aussage von OpenAI verlassen oder eben nicht. Am Ende musst du entscheiden, ob du das Risiko eingehst oder lieber keine Daten an ChatGPT weitergibst.

Meine Empfehlung: Vorsicht ist die Mutter des Porzellanladens. Ich würde im Zweifel nicht darauf vertrauen, dass Chat keine Daten verarbeitet.

Kann ich Daten trotzdem legal mit ChatGPT verarbeiten?

Es ist nicht per se illegal, personenbezogene Daten über ChatGPT zu verarbeiten. In diesem Fall musst du aber die gesamte Klaviatur des Datenschutzes beachten. In erster Linie benötigst du eine Rechtsgrundlage, auf deren Basis du die Daten über ChatGPT verarbeiten darfst. Da gibt es in der DSGVO einige. In der Praxis kommt meines Erachtens nur die Einwilligung in Betracht. Diese hat strenge Voraussetzungen. Einen ausführlichen Artikel zum Thema Einwilligung habe ich hier veröffentlicht. Im Ergebnis dürfte die Hürde für eine wirksame Einwilligung nicht ganz niedrig sein. Die DSGVO kennt noch eine Reihe anderer Rechtsgrundlagen, wie das berechtigte Interesse oder die Verarbeitung zur Durchführung eines Vertrags. Ich gehe aber davon aus, dass diese Rechtsgrundlagen hier nicht in Betracht kommen. Beim berechtigten Interesse werden vermutlich die potenziellen Interessen der betroffenen Person überwiegen, dass ihre Daten nicht verarbeitet werden. Bei der Durchführung des Vertrags wird es an der Notwendigkeit scheitern. Insofern bleibt nur die Einwilligung. Das kann man sicherlich auch anders sehen. Ich gehe aber davon aus, dass du mit dem Thema eher zurückhaltend umgehen solltest.

Unabhängig von der Einwilligung musst du die betroffene Person natürlich auch nach Art. 13, 14 DSGVO informieren.

Fazit: ChatGPT und Datenschutz

Der Einsatz von ChatGPT macht Spaß. Ich nutze es fast täglich. Aber du solltest beim Einsatz ein paar Regeln beachten:

• Du solltest keine personenbezogenen Daten bei Chat eingeben. Das solltest du auch als verbindliche Regel in deinem Unternehmen festlegen, z. B. im Rahmen einer KI-Richtlinie. Ein Muster für eine solche Richtlinie findest du hier und mehr zum Thema KI-Richtlinie im dazugehörigen Artikel.
• Dokumente sollten vor dem Upload anonymisiert werden.
• Chat sollte so eingestellt sein, dass es deine Daten nicht zum Anlernen verarbeitet.
• Wenn du aus irgendwelchen Gründen doch personenbezogene Daten eingeben musst, solltest du die rechtliche Basis dafür schaffen. DU benötigst eine saubere Rechtsgrundlage und natürlich müssen die betroffenen Personen über die Verarbeitung informiert werden.
• Wenn du Daten von Chat erzeugen lässt, musst du sicherstellen, dass diese Daten korrekt sind.