Datenschutzkonforme Nutzung von ChatGPT – Ist das möglich?

In den letzten Jahren hat sich Künstliche Intelligenz (KI) immer weiterverbreitet und wird zunehmend in verschiedenen Branchen und Anwendungen eingesetzt. Einer der neuesten KI-Anwendungen ist die KI-Chat-Technologie GPT („ChatGPT“) von der Firma OpenAI OpCo, LLC („Open AI“).  ChatGPT ermöglicht es dem Nutzer, Fragen oder Aufgaben zu stellen, welche anschließend von der künstlichen Intelligenz beantwortet oder erledigt werden. Das kann etwa das Schreiben eines Artikels beinhalten, aber auch kreativere textbasierte Ideen, wie das Brainstormen von Firmennamen umfassen. Nicht nur für Privatpersonen, sondern auch für Unternehmen kann diese Technologie dementsprechend von Vorteil sein. So kann beispielsweise auch die Kommunikation mit Kunden verbessert und durch eine Automatisierung eine personalisierte und effektive Kundenbetreuung geboten werden. Das hört sich natürlich erst einmal sehr vielversprechend an.

Allerdings gibt es nun auch immer öfter hervorgebrachte Datenschutzbedenken im Zusammenhang mit der Verwendung von KI-Technologien wie ChatGPT. Durch die Erbringung von Dienstleistungen auf dem EU-Markt, ist die OpenAI verpflichtet, die Vorschriften der Datenschutz-Grundverordnung („DSGVO“) zu beachten. Und genau hier treten erste Defizite auf.

Verarbeitung von großen Datenmengen ohne konkrete Angaben zur Quelle dieser Daten

ChatGPT basiert auf riesigen Datenmengen. Allein dies steht in Konflikt mit dem Grundsatz der Datenminimierung. Dieser Grundsatz, welcher in der DSGVO normiert ist, schreibt vor, dass die Verarbeitung von personenbezogenen Daten auf ein Minimum beschränkt werden muss. Um die KI-Maschine im ersten Schritt zu trainieren und zu verbessern, hat ChatGPT mehrere Milliarden Datenpunkte aus dem Internet benötigt. Diese Datensätze, welche zum Trainieren verwendet wurden, enthalten mit hoher Wahrscheinlichkeit (sensible) personenbezogenen Daten von einzelnen Betroffenen. Solche Daten können beispielsweise aus E-Mails, Textnachrichten, Social-Media-Posts und anderen Online-Quellen stammen. Es ist jedoch derzeit unklar, welche Daten für das Training der Algorithmen von ChatGPT verwendet wurden und ob die OpenAI überhaupt eine Rechtsgrundlage hatte, diese Daten zu verwenden. Sobald ein Unternehmen also die künstliche Intelligenz nutzt, muss sichergestellt werden, dass die verwendeten Systeme DSGVO-konform arbeiten und damit die Betroffenen, deren Daten davon verarbeitet werden, einen ausreichenden Schutz genießen. Ein Verstoß gegen die DSGVO kann ansonsten nicht nur zu womöglichen Imageschäden führen, sondern regelmäßig auch zu hohen Bußgeldern.

Vorurteile und Diskriminierung in den Ergebnissen

Ein weiterer Aspekt, welcher letztlich in den Vordergrund tritt ist, dass die Trainingsdaten, welche zum Trainieren von ChatGPT verwendet werden, Vorurteile (Biases) enthalten können und damit zu Diskriminierungen tendieren. Beispielsweise können die gesammelten Daten gegen bestimmte Gruppen von Menschen gerichtet sein oder etwa bestimmte Sprachen und Weltanschauungen bevorzugen. Dies führt dazu, dass die Vorschläge und Antworten von ChatGPT spezifische Verzerrungen enthalten und damit eine Objektivität des Systems infrage steht. Unternehmen, die ChatGPT benutzen, müssen sich demnach bewusst sein, dass die verwendeten bereitgestellten Informationen höchst wahrscheinlich diskriminierende Tendenzen beinhalten. Folglich sollte sich immer noch einmal kritisch mit den Antworten auseinandergesetzt werden, damit einer Reproduktion von Vorurteilen (Biases) entgegengewirkt werden kann. Des Weiteren betont die DSGVO, dass es möglich sein muss, Erklärungen für die Entscheidungen der Programme mithilfe einer automatisierten Entscheidungsfindung zu geben. ChatGPT kann jedoch nur gewisse Informationen liefern.  Unternehmen, welche ChatGPT nutzen wollen, müssen demnach in der Lage sein, die Erkenntnisse durch ChatGPT zu erklären, um die DSGVO einzuhalten.

Mögliche Cyberangriffe

So wie bei den meisten webbasierten Applikationen, wird auch bei ChatGPT ein Raum für Missbrauch geöffnet. So können Cyberkriminelle etwa ChatGPT verwenden, um persönliche Informationen zu stehlen oder unerlaubten Zugang zu sensiblen Daten zu erhalten. Es gibt darüber hinaus beispielsweise bösartige Chatbots, die menschliches Verhalten und menschliche Unterhaltungen simulieren, um Nutzer dazu zu bringen, ihre persönlichen Daten, einschließlich Finanzinformationen, preiszugeben. Insbesondere durch die steigende Popularität und der Menge an Daten, scheint dies ein in der Zukunft wahrscheinlich häufiger auftretendes Ereignis zu sein. Umso wichtiger ist es, dass die Verwendung von ChatGPT in Unternehmen auf einer sicheren und vertraulichen Infrastruktur aufbauen sollte. Dazu könnte beispielsweise gehören, dass nur autorisierte Personen Zugriff auf die verarbeiteten Daten haben und diese Daten darüber hinaus nur zu den vorher vereinbarten Zwecken verwendet werden. Des Weiteren sollten Unternehmen regelmäßig die Sicherheitsmaßnahmen überprüfen und sicherstellen, dass auftauchende Sicherheitslücken so schnell wie möglich behoben werden.

Anforderungen für den Einsatz von KI-Systemen

Die Implementierung von KI-Systemen wie ChatGPT erfordert ein angemessenes Risiko- und Datenmanagementsystem sowie eine detaillierte technische Dokumentation. Darüber hinaus ist eine Überwachung und menschliche Kontrolle von Systemen, die KI nutzen, erforderlich. Aufgrund des Ausmaßes potenzieller Vorfälle müssen Maßnahmen zur Gewährleistung eines hohen Niveaus an Cybersicherheit ergriffen werden. Die spezifischen Datenschutzanforderungen können je nach Anwendungsfall variieren. Der gerade erarbeitete Entwurf der KI-Verordnung wird als fundamentaler Grundstein für die Regulierung von KI in der EU konkrete Umsetzungsvorgaben definieren.

Zusammenfassung

Zusammenfassend kann gesagt werden, dass ChatGPT auf den ersten Blick eine vielversprechende Technologie ist. Bei genauerem Hinsehen tun sich jedoch Datenschutzlücken auf, welche eine DSGVO konforme Nutzung durch Unternehmen eher unmöglich macht. In der Zukunft wird sich zeigen, ob diese Datenschutzlücken aufgearbeitet werden können und damit eine bedenkenlose Nutzung ermöglicht wird. Wünschenswert wäre dies, da die künstliche Intelligenz in vielen Bereichen durchaus Vorteile mit sich bringt, die es eigentlich auch gilt, zu nutzen.

Sichere Kommunikation

Neueste Beiträge

  • Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter