Unternehmen müssen auch hier auf die Umsetzung der DS-GVO achten
ChatGPT ist gerade in aller Munde und wird immer mehr auch an unterschiedlichen Stellen ausgetestet, somit auch genutzt. Egal ob man das Programm nur aus reinem Interesse testen möchte oder ernsthaft in Arbeitsabläufe integriert, es sollte dem Anwender immer bewusst sein, dass die Möglichkeit besteht, dass personenbezogene Daten verarbeitet werden.
Wir beschäftigen uns daher in diesem Artikel damit, wie es um den Datenschutz bei solchen Programmen bestellt ist und auf was bei der Nutzung geachtet werden sollte.
Was ist ChatGPT?
ChatGPT ist die Abkürzung für Generative Pre-trained Transformer. Wikipedia definiert ChatGPT wie folgt:
„ChatGPT […] ist ein Prototyp eines Chatbots, also eines textbasierten Dialogsystems als Benutzerschnittstelle, der auf maschinellem Lernen beruht.“ (Quelle: Wikipedia)
ChatGPT ist also ein sogenannter Chatbot (auch Chatterbot oder Bot). Es gibt dabei unterschiedliche Nutzungsformen. ChatGPT und ähnliche Programme greifen dabei auf große Datenbestände zurück, um mit dem Nutzer zu kommunizieren. Dabei kann das System mehr oder weniger Dialoge mit dem Nutzer führen und als eine Art virtuelle Assistenz genutzt werden. Das Programm kann durch die Nutzereingaben auch weiter lernen und sich verbessern.
Ähnlichen Nutzen kennen wir bereits durch Sprachassistenten oder Messenger Apps.
BLOG-TIPP: SMARTE GERÄTE IM HAUSHALT ALS SICHERHEITSRISIKO IM DATENSCHUTZ AUCH FÜR UNTERNEHMEN
Welche Daten werden bei ChatGPT verarbeitet?
ChatGPT erstellt Antworten zu spezifischen Fragen der Nutzer. Dabei kann der Chatbot unterschiedliche personenbezogene Daten verarbeiten und speichern. Diese Daten benötigt das Programm, um Antworten zu generieren. Um die Verarbeitung und Speicherung der Daten zu vermeiden, ist es wichtig, dass Sie bei der Nutzung der Anwendung möglichst keine personenbezogenen Daten angeben.
Das Programm ist noch ein Prototyp, der zur Weiterentwicklung und zum Lernen, unterschiedliche Daten benötigt. Aufgrund vorhandener Fragestellungen lernt es und entwickelt sich weiter.
Es verarbeitet aber derzeit augenscheinlich keine personenbezogenen Daten, außer jene, die bei der Anfrage freiwillig eingegeben werden. Für die Nutzer hat der Hersteller Datenschutzrichtlinien hinterlegt, garantiert jedoch nicht für die Sicherheit der Daten. In Italien wurde das Programm aufgrund einer Datenpanne und wegen angeblich fehlendem Jugendschutz bereits verboten.
Datenschutzmaßnahmen bei der Nutzung eines Chatbots
Wie kann man die personenbezogenen Daten schützen, außer dass man diese nicht eingibt? Natürlich steht an erster Stelle ein sicherer Internetzugang. Egal von wo Chatbots oder Sprachassistenten genutzt werden, immer sollten die Sicherheitsrichtlinien eingehalten werden.
Wie schon beschrieben, sollten Sie keine personenbezogenen Daten oder ähnliche Daten eingeben, die nicht für andere zugänglich sein sollten. Vor allem bei der Nutzung in einem Unternehmen oder einer anderen Organisation, sollte die Nutzung eines solchen Chatbots genau überlegt werden.
Um die Risiken möglichst gering zu halten, sollten auch die Mitarbeiter für den Umgang mit solchen oder ähnlichen Programmen geschult werden. Gerade bei der Nutzung von privaten Endgeräten im Büro oder der Nutzung von Unternehmensendgeräten im Privaten, kann ein Verlust der Daten drohen.
Besonders dann, wenn zum Beispiel Betroffenendaten verarbeitet werden, sollte man besondere Vorsicht walten lassen.
BLOG-TIPP: AWARENESS: MITARBEITER ALS TEIL FÜR DEN DATENSCHUTZ
Arbeiten mit KI und Co. – Fachmann hinzuziehen
Es wird natürlich empfohlen, sich mit den Datenschutzrichtlinien von ChatGPT auseinanderzusetzen. Gerade wenn personenbezogene Daten im Rahmen von Unternehmen o.ä. im Spiel sind, dann sollte immer ein Fachmann hinzugezogen werden. Zum einen ist dabei die IT-Sicherheit in Sachen Datenschutz zu beachten, zum anderen aber natürlich auch die Einhaltung der Datenschutzgrundverordnung (DS-GVO) sicherzustellen.
Daher sind hier der (externe) Datenschutzbeauftragte und ein IT-Fachmann die richtige Wahl.
Datenübermittlung in ein Drittland
Neben der Einhaltung der grundlegenden IT-Sicherheit zur sicheren Nutzung von KI wie Chatbots bezüglich des Datenschutzes, muss auch bedacht werden, dass der Hersteller von ChatGPT beispielsweise in den USA ansässig ist. Damit werden die Daten in ein Drittland übermittelt. Eine genaue Prüfung hierzu von Seiten des Datenschutzes her, ist damit geboten.
Darüber hinaus würden die Daten, sofern Sie eingegeben oder verarbeitet werden, an einen Auftragsverarbeiter weitergegeben. Daher müsste ein entsprechender Auftragsverarbeitungsvertrag (AV-Vertrag) für die Einhaltung des Datenschutzes abgeschlossen werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Fazit: Beim Umgang mit Chatbots sind alle Vorgaben im Datenschutz einzuhalten
Wenn Unternehmen, Schulen, Vereine, Praxen, Kanzleien oder ähnliche Organisationen also Chatbots wie ChatGPT ausprobieren oder gar einsetzen wollen, um Prozesse zu verbessern oder eben auch nur zu testen, was man mit diesem Tool verbessern könnte, müssen alle Vorgaben im Datenschutz eingehalten werden, insofern personenbezogene Daten betroffen sein könnten.
Dabei ist besondere Vorsicht geboten, wenn Mitarbeiter Internetzugänge oder Endgeräte privat nutzen können und entsprechende Geräte nutzen.
Zu den Grundlagen gehören auch die Einhaltung der Betroffenenrechte, Informationspflichten und die Sicherstellung der Datensicherheit durch entsprechende technische und organisatorische Maßnahmen (TOM). Auch die Grundsätze des Datenschutzes müssen eingehalten werden.
BLOG-TIPP: DATENSCHUTZ FÜR UNTERNEHMEN IN NRW – GRUNDSÄTZE DES DATENSCHUTZES
Umgang im Datenschutz mit der KI für Unternehmen
Mit zunehmender Nutzung von KI in Unternehmen, steigt auch der Anspruch an den Datenschutz und die IT-Sicherheit. Es gilt in der Grundlage auch zu prüfen, ob die Verarbeitung der personenbezogenen Daten von Betroffenen zweckmäßig durch die verwendeten Programme verarbeitet werden darf.
ACHTUNG: Gerade bei der Verwendung von Prototypen kann eine Gefahr durch den unautorisierten Zugriff auf personenbezogene Daten nicht gänzlich ausgeschlossen werden. Wie genau auf die Daten zugegriffen wird, kann im Zweifel nicht immer sicher gesagt werden.
Für den Verantwortlichen im Datenschutz wird gerade dieser neue Bereich der Datenverarbeitung immer schwerer zu bewerten. Daher ist zu empfehlen den Umgang mit dieser neuen Art der Datenverarbeitung gemeinsam mit einem Datenschutzbeauftragten zu bewerten und die Gefahren für den Datenschutz genau abzuwägen. Dies sollte passieren, bevor eine KI wie ein Chatbot genutzt werden kann.
BLOG-TIPP: TOM NACH DS-GVO FÜR UNTERNEHMEN IN KÖLN, BONN, GUMMERSBACH UND UMGEBUNG
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.