Datenschutzerklärung für ChatGPT

(2 Bewertungen, 4.50 von 5)

Was macht ChatGPT?

ChatGPT ist ein fortschrittliches Sprachmodell, mit dem Nutzer menschenähnliche Konversationen führen können. In der Praxis ermöglicht es komplexe Aufgaben wie Textgenerierung, Übersetzungen und Programmierung. Unternehmen nutzen ChatGPT für vielfältige Zwecke. So verwenden sie die KI unter anderem für die Kundenkommunikation, für die Content-Generierung, im HR-Management sowie für die Marktforschung. Monatlich greifen rund 1,7 Milliarden Besucher auf die ChatGPT-Webseite zu. Hinter dem Chatbot steht das US-amerikanische Unternehmen OpenAI. Es beschäftigt mehr als 300 Mitarbeiter. Was müssen Firmen datenschutzrechtlich beachten, wenn sie ChatGPT verwenden? 

 

Der Punkt "ChatGPT" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

  

Darum ist ChatGPT datenschutzrechtlich relevant

Je nachdem, wie Unternehmen ChatGPT verwenden, kann es sein, dass sie dabei gesetzlich geschützte Daten an den hinter dem Chatbot stehenden Anbieter OpenAI weitergeben. Das ist zum Beispiel der Fall, wenn Unternehmen Kundendaten von der KI verarbeiten lassen. Diese Daten sind unter anderem durch die Datenschutz-Grundverordnung (DSGVO) geschützt.

Während bei einer Datenweitergabe normalerweise klar ist, wie die anschließende Datenverarbeitung aussieht und wer dafür verantwortlich ist, ist das im Fall von ChatGPT nicht eindeutig. Der Algorithmus der KI ist nicht öffentlich und die Verarbeitungsvorgänge sind so komplex, dass es für Unternehmen nicht möglich ist, Nutzer über die Verarbeitung ihrer Daten zu informieren. Das heißt auch: Sie können ChatGPT nur schwer rechtlich sicher nutzen. Was können Unternehmen also tun, um ChatGPT gemäß den Anforderungen des deutschen Datenschutzes zu verwenden?

ChatGPT datenschutzkonform verwenden

Derzeit ist unklar, ob und wie Unternehmen Nutzerdaten mit ChatGPT datenschutzkonform verarbeiten können. Sie sollten jedoch einige datenschutzrechtliche Maßnahmen ergreifen, um die Verwendung so sicher, wie es derzeit möglich ist, zu gestalten: 

Datenschutz-Einstellungen streng konfigurieren

Standardmäßig verarbeitet OpenAI alle Daten, die Nutzer im Chat mit der KI eingeben. Unternehmen können den Datenschutz jedoch nachträglich strenger einstellen. Auf dem Desktop ist das unter „Settings“ möglich. Unter „General“ sind Unternehmen in der Lage, alle bisherigen Chats zu löschen. Das sollten sie regelmäßig vornehmen. Zudem können Unternehmen unter „Data Controls“ verbieten, dass ChatGPT die Daten zum Training seines Modells nutzt.

Einwilligung in Datenerhebung einholen

Grundsätzlich gilt: Unternehmen sollten keine personenbezogenen Daten in ChatGPT eingeben oder diese über die KI erheben (zum Beispiel über einen automatisierten Kundenservice). Um die Erhebung anderer, sensibler Nutzerdaten auf rechtlich sichere Beine zu stellen, sollten sie die Erlaubnis dafür von Usern einholen. Das können sie beispielsweise über einen Cookie-Banner vornehmen. Um diesen rechtskonform umzusetzen, können Firmen auf ein Cookie Consent Tool setzen. Dies holt die Einwilligung der Nutzer rechtskonform ein und passt dann die Datenströme auf der Webseite entsprechend an.

Datenschutzerklärung aktualisieren

Grundsätzlich müssen Unternehmen in ihrer Datenschutzerklärung darüber informieren, wenn sie Nutzerdaten erheben. Dabei müssen sie auch erklären, welche Daten sie wie verwenden, warum sie diese an Dritte weitergeben und wie die Dritten die Daten verwenden. Da aber nicht klar ist, was ChatGPT mit eingegebenen Daten macht, können Firmen auch nicht hinreichend darüber aufklären. Um dennoch immerhin über einen Verweis auf die direkte oder indirekte Weitergabe von Nutzerdaten an OpenAI zu verfügen, sollten Unternehmen einen entsprechenden Abschnitt in ihre Datenschutzerklärung integrieren.

Data Processing Agreement abschließen

Übermitteln Unternehmen personenbezogene Daten an Dritte zur weisungsgebundenen Verarbeitung, müssen sie in der Regel einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit diesen abschließen. Geben Firmen also beispielsweise Kundendaten bei ChatGPT ein, um daraus Persona erstellen zu lassen, verarbeitet die KI die Daten so, dass Unternehmen daraus nützliche Erkenntnisse gewinnen. Auf diese Weise liegt eine Form der Auftragsverarbeitung vor. Sie müssen also einen AV-Vertrag abschließen. Nutzen Firmen nur die kostenfreie ChatGPT-Version, steht jedoch kein AV-Vertrag zur Verfügung. Bei der kostenpflichtigen Version bietet OpenAI ein Data Processing Agreement an. Auch wenn bisher nicht geklärt ist, ob dies den Anforderungen des deutschen Datenschutzes entspricht, sollten Unternehmen das Agreement abschließen.

Was hinzuzufügen ist: Derzeit ist unklar, ob beim Einsatz von ChatGPT überhaupt eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt. Denn: Nutzt ChatGPT eingegebene Daten zu Trainingszwecken seiner KI, könnte eher eine gemeinsame Verantwortlichkeit von OpenAI und Unternehmen vorliegen. Die DSGVO würde dann weitere Voraussetzungen vorschreiben, wie etwa eine Vereinbarung über die gemeinsame Verantwortlichkeit (Joint Controllership). Diese bietet ChatGPT bisher jedoch nicht an.

Standardvertragsklauseln abschließen

Versenden Unternehmen personenbezogene Daten in ein Drittland, müssen sie sicherstellen, dass dort ein DSGVO-ähnliches Datenschutzniveau herrscht. Die Server von ChatGPT stehen unter anderem in den USA. Damit landen Nutzerdaten in einem datenschutzrechtlich unsicheren Drittland. Für diesen Fall hat die EU-Kommission Standardvertragsklauseln geschaffen, die Unternehmen mit OpenAI abschließen sollten. Der Anbieter hat diese in sein Data Processing Agreement integriert.

Rechtsprechung zu ChatGPT

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu ChatGPT vor. Datenschutzbehörden in Europa schätzen die KI aktuell wie folgt ein:

Juni 2023: Bundesregierung zum Datenschutz von ChatGPT

Personenbezogene Daten, die OpenAI mit seiner KI ChatGPT sammelt und verarbeitet, unterliegen den Vorgaben der DSGVO und des Bundesdatenschutzgesetzes (BDSG). Das stellte die Bundesregierung in einer Antwort auf eine Anfrage der AfD fest. Die Partei hatte insgesamt 17 Fragen vorgelegt, die unter anderem die Geltung der DSGVO, die rechtlichen Grundlagen für eine Sperrung von ChatGPT in Deutschland und die Gefahren der Integration von ChatGPT in Microsoft-Produkte wie Office und Teams umfasste. Ob und welche Maßnahmen gegenüber ChatGPT ergriffen werden könnten, liegt in den zuständigen Datenschutzaufsichtsbehörden, so die Bundesregierung in ihrer Antwort.

April 2023: Englische Datenschutzbehörde zum Einsatz von ChatGPT

Die englische Datenschutzbehörde „Information Commissioner’s Office“ (ICO) sieht auf der einen Seite Unternehmen, die eine generative KI wie ChatGPT entwickeln, in der Pflicht, den benötigten Datenschutz bereits ins Design zu integrieren (Privacy by Design). Auf der anderen Seite sieht die Behörde Unternehmen, die ChatGPT verwenden, in der Pflicht. Dabei sollten sie sich unter anderem fragen, auf welcher gesetzlichen Grundlage personenbezogene Daten verarbeitet werden und ob es für die Datenverarbeitung einen gemeinsamen Verantwortlichen oder einen Auftragsverarbeiter gibt. Können Unternehmen diese Fragen nicht rechtssicher beantworten, sollten sie KIs wie ChatGPT nicht verwenden.

April 2023: Europäischer Datenschutzausschuss zu ChatGPT

Der europäische Datenschutzausschuss (EDSA) – die Datenschutzbehörde auf EU-Ebene – teilte mit, über ChatGPT zu diskutieren. Zudem entschieden sich die Mitglieder der Behörde, eine spezielle Task Force einzurichten, die die Kooperation der einzelnen Datenschutzeinrichtungen der jeweiligen EU-Mitgliedsstaaten und den Austausch über mögliche Datenschutzmaßnahmen in Bezug auf ChatGPT fördern soll.

März 2023: Italienische Datenschutzbehörde zu ChatGPT

Italiens Datenschutzbehörde „Garante per la protezione dei dati personali“ sperrte ChatGPT fast den ganzen April 2023. Grund dafür war ein Datenleck, das Userdaten und Zahlungsinformationen umfasste. Zudem bemängelten die Datenschützer, dass unklar sei, welche Daten OpenAI in welchem Umfang sammele und ob dabei der Jugendschutz eingehalten werde. Die Behörde sah daher einen Verstoß gegen die DSGVO und sprach die Sperre aus. Nachdem OpenAI die Altersprüfung und Nutzungsbedingungen überarbeitete hatte, ging die KI in Italien wieder online.

 

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6149 Bewertungen, 4.39 von 5)