Die Anwendung „ChatGPT“ ist derzeit wohl eines der Top-Gesprächsthemen, sowohl im privaten als auch im betrieblichen Umfeld. Kein Wunder, denn die KI kann vieles, wie beispielsweise Ratschläge geben, Fragen beantworten und sogar Hausarbeiten formulieren – was in Zukunft sogar den Einsatz in der Wissenschaft bedeuten könnte. Dabei liefert die KI ihre Antworten in einer nahezu fehlerfreien Sprache. Zum Leidwesen des Lehrpersonals, denn ChatGPT ist bei der Erstellung von Hausarbeiten teilweise so gut, dass die Nutzung kaum nachweisbar ist. Dieser Beitrag widmet sich der neuen und viel diskutierten KI. Insbesondere soll die Frage gestellt werden, ob ChatGPT zu datenschutztechnischen Problemen führen kann. Wir haben uns in diesem Zusammenhang gefragt, wo genau mögliche datenschutzrechtliche Stolperfallen bei der Nutzung liegen könnten.
Datenschutzrechtliche Risiken bei einem Einsatz von ChatGPT
Die Nutzung von ChatGPT, wie auch bei jeder anderen Plattform birgt potenzielle Risiken für den Schutz personenbezogener Daten. Als auf künstlicher Intelligenz basierende Sprachmodell-Plattform sammelt und verarbeitet ChatGPT Informationen von Nutzerinnen und Nutzern, um bessere und personalisierte Dienstleistungen bereitzustellen. Die Risiken hängen von verschiedenen Faktoren ab, einschließlich der Art der gesammelten Informationen, der Art der Verarbeitung, Dauer der Speicherung und der Sicherheitsvorkehrungen.
Eines der größten Risiken ist die Möglichkeit, dass Dritte unbefugten Zugriff auf personenbezogene Daten erhalten. Obwohl ChatGPT Sicherheitsvorkehrungen getroffen hat, um den Zugriff auf personenbezogene Daten zu beschränken, kann keine Plattform vollständig vor Datendiebstahl oder Hacks geschützt werden. Wenn die Daten in die Hände von Hackern geraten, können diese für verschiedene Zwecke missbraucht werden, wie zum Beispiel Identitätsdiebstahl, Betrug oder Erpressung. Ein weiteres Risiko ist die Möglichkeit, dass personenbezogene Daten für kommerzielle Zwecke missbraucht werden. In einigen Fällen können Dritte personenbezogene Daten für Marketingzwecke oder zum Verkauf an andere Unternehmen verwenden. Obwohl ChatGPT versichert, dass personenbezogene Daten nicht an Dritte weitergegeben werden, gibt es keine Garantie, dass diese Informationen nicht dennoch in die falschen Hände geraten.
Ein weiteres Risiko ist die Möglichkeit, dass die Verarbeitung von personenbezogenen Daten zu Fehlern oder Vorurteilen führt. ChatGPT kann aufgrund der Verarbeitung von Informationen Vorurteile oder Diskriminierungen begehen, was dazu führen kann, dass bestimmte Nutzergruppen benachteiligt werden. Schließlich besteht das Risiko, dass personenbezogene Daten gelöscht oder verändert werden. Ein technischer Fehler kann dazu führen, dass personenbezogene Daten versehentlich gelöscht oder verändert werden, was zu erheblichen Problemen führen kann.
Es ist wichtig, dass Nutzerinnen und Nutzer von ChatGPT sich dieser Risiken bewusst sind und die notwendigen Schritte unternehmen, um ihre personenbezogenen Daten zu schützen. Dazu gehört das Lesen der Datenschutzrichtlinien von ChatGPT und das Verständnis, welche Arten von Informationen gesammelt werden. Nutzerinnen und Nutzer sollten auch sicherstellen, dass ihre Passwörter sicher sind und ihre Konten nicht von unbefugten Dritten verwendet werden. Insgesamt ist die Nutzung von ChatGPT relativ sicher, solange Nutzerinnen und Nutzer die notwendigen Vorsichtsmaßnahmen treffen.
Haben Sie es bemerkt?
Vielleicht ist es Ihnen aufgefallen: Der oben dargestellte Text wurde mit sehr kleinen Änderungen von ChatGPT erstellt. Bei der Frage nach der Datenschutzkonformität dachten wir uns, dass wenn die KI wirklich so intelligent ist, ist sie vielleicht die beste Ansprechpartnerin, um dieser Frage auf den Grund zu gehen. Warum fragen wir sie also nicht einfach selbst?
Auch wenn wir dies nicht direkt nachweisen können: Die KI ist vermutlich sehr schlau, denn wenn wir sie in verschiedenen Formulierungen gefragt haben, ob sie nun wirklich DS-GVO-konform ist, hat sie zwar Risiken wie Hacking der Datenbanken und die damit verbundenen potenziellen Konsequenzen aufgezeigt, klang jedoch genau wie fast alle US-amerikanischen Anbieter, die ihr vermeintlich datenschutzkonformen Dienstleistungen in Europa anbieten möchten. Sie betonte stark die von ihr eingesetzten Maßnahmen zur Einhaltung des Datenschutzrechts, indem sie auf die technischen und organisatorischen Maßnahmen hinwies. Dabei hat sie Dinge erwähnt wie: „Wir teilen personenbezogene Daten nur mit Drittanbietern, die sich zur Einhaltung der DS-GVO verpflichtet haben.“ oder „Wir verwenden Technologien wie Verschlüsselung, Zugriffskontrolle und sichere Übertragungsprotokolle, […].“ etc. Allerdings hat ChatGPT so direkt nicht erwähnt, dass personenbezogene Daten auf Servern gespeichert werden, die sich in den USA befinden, sodass US-Behörden jederzeit das Recht haben, auf diese Daten zuzugreifen. Fairerweise müssen wir erwähnen, dass wir diese Informationen auch nicht direkt erfragt haben.
Hinweise für datenschutzkonforme Nutzung bekamen wir im Ansatz dann doch: „ChatGPT sammelt nur personenbezogene Daten, wenn Nutzerinnen und Nutzer diese explizit zur Verfügung stellen.“ Letztendlich kommt es zu großen Teilen auf die Nutzerinnen und Nutzer an, ob und wie die KI datenschutzkonform eingesetzt werden kann. Wenn also personenbezogene Daten von ChatGPT gespeichert werden, könnte dies in erster Linie daran liegen, dass Nutzerinnen und Nutzer Informationen selbst preisgeben.
Weiterhin heißt es: „Wir verwenden Cookies, um Nutzererfahrungen zu verfolgen und zu personalisieren, sammeln jedoch keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Standortdaten.“ (Ich musste bei der Anmeldung meinen Namen, E-Mail-Adresse und Handynummer eingeben).
Personenbezug minimieren
Da ChatGPT auf dem Vormarsch ist und der Einsatz in naher Zukunft wahrscheinlich ist, haben wir uns Gedanken gemacht, wie man die KI möglichst datenschutzkonform einsetzen kann. ChatGPT funktioniert, indem sie massenhaft Daten und Informationen sammelt, so wie nahezu jede andere KI. Wir schließen uns dem Hinweis von ChatGPT an. Vermeiden Sie bei der Nutzung unbedingt die Nennung jeglicher personenbezogener Daten. Dies gilt für die private und betriebliche Nutzung gleichermaßen.
P.S.: Als ich ChatGPT fragte wer Andreas Nanos ist, hat mir die KI zwar mitgeteilt, dass ihr keine Informationen über diese Person vorliegen, hat mir jedoch angeboten zu versuchen, mehr Informationen zu liefern, wenn ich mehr Details über die betreffende Person geben kann…
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.