DSGVO-Beschwerde gegen OpenAI: Dürfen Arbeitnehmer ChatGPT noch nutzen?

Der Fall: noyb vs. OpenAI

Bei noyb („none of your business“) handelt es sich um eine Nichtregierungsorganisation mit Sitz in Wien, die sich durch medienwirksame Gerichtsverfahren und Initiativen für die Durchsetzung bzw. Einhaltung des Datenschutzes innerhalb der Europäischen Union einsetzt. Der Vorwurf gegenüber OpenAI: ChatGPT verstoße gegen die DSGVO und verbreite Falschinformationen über Personen, was ein klarer Fall der Verletzung europäischen Rechts darstellt.

Die Beschwerde gründet sich darauf, dass OpenAI den Menschen in Europa ihre datenschutzrechtlichen Ansprüche verweigere. Bei der hier betroffenen Person soll OpenAI dem Betroffenen auf dessen Auskunftsersuchen hin mitgeteilt haben, eine Korrektur der ihn betreffenden Daten sei nicht möglich. Ein weiterer Vorwurf lautet, OpenAI würde nicht angemessen auf Auskunftsersuchen von Betroffenen reagieren, da der Beschwerdeführer auf sein Auskunftsersuchen hin keine Informationen darüber erhalten habe, welche Daten verarbeitet wurden, welche Quellen hierfür genutzt wurden noch wer die Empfänger gewesen seien. 

Im Zuge dessen fordert der Beschwerdeführer eine Untersuchung der Datenverarbeitungspraktiken von OpenAI sowie ein Bußgeld.

Wie ist der rechtliche Rahmen beim Einsatz von KI-Systemen?

Beim Nutzen von KI kommt es regelmäßig zur Verarbeitung von personenbezogenen Daten, wobei es bereits Bestrebungen gibt, den Einsatz von AI zu begrenzen beziehungsweise zumindest einen Rechtsrahmen für Inverkehrbringen, Bereitstellung und Inbetriebnahme von KI-Systemen in der EU zu schaffen.

Den Kern soll die künftige EU-Verordnung über künstliche Intelligenz (KI-VO) bilden, die derzeit aber noch keine Anwendung findet. Neben diesen Regelungen sind bei der Nutzung der KI auch immer Bestimmungen zur Produkthaftung oder dem Urheberrecht zu beachten.

Wie wird das künftige Verhältnis zwischen KI-VO und DSGVO sein?

In der künftigen KI-VO ist festgehalten, dass die DSGVO die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter durch die KI-VO unberührt bleiben. Die DSGVO bleibt somit künftig (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt. Innerhalb der KI-VO gibt es viele Bezugnahmen auf die DSGVO, zum Beispiel für die Definitionen der „personenbezogenen“ oder „biometrischen“ Daten. Einige datenschutzrechtliche Bestimmungen aus der DSGVO werden modifiziert, so sollen beispielsweise sensible Daten unter Umständen verarbeitet werden dürfen, um Verfälschungen oder Verzerrungen innerhalb eines KI-Systems aufzudecken. Diese Daten, die hierfür unbedingt erforderlich verarbeitet werden müssen, sollen dann im Verzeichnis für Verarbeitungstätigkeiten nach Art. 30 DSGVO aufgenommen werden (Art. 10 Abs. 5 KI-VO).

Für datenschutzrechtliche Fragestellungen im Zusammenhang mit KI-Systemen wird daher die Datenaufsicht zuständig sein.

Was muss beim Einsatz von KI am Arbeitsplatz beachtet werden?

In der Regel ist derjenige, der KI-Systeme einsetzt, auch Verantwortlicher im Sinne der DSGVO – mit den entsprechenden Folgen. Sobald eine natürliche oder juristische Person über die Zwecke und Mittel einer Datenverarbeitung entscheidet, indem sie beispielsweise ChatGPT nutzt, ist sie Verantwortlicher und damit verpflichtet zur Einhaltung der DSGVO. Der Umstand, dass der Anbieter oder Betreiber die technischen Vorgaben schafft, ändert hieran nichts.

Bei der Verwendung von ChatGPT oder anderen KI-Systemen ist darauf zu achten, ob die Verwendung dazu führt, dass personenbezogene Daten an den Hersteller des Systems oder an Dritte übermittelt werden. Dies könnte zu unrechtmäßigen Datenoffenlegungen oder zur Preisgabe von Geschäftsgeheimnissen führen.

Eine Handlungsempfehlung an Arbeitgeber muss daher lauten, interne Regeln zur Nutzung für die Mitarbeiter aufzustellen, welche Daten mit ChatGPT oder anderen KI-Systemen verarbeitet werden dürfen. Dabei sollte die Verarbeitung von personenbezogenen Daten grundsätzlich ausgeschlossen werden. Zudem sollte darüber hinaus klar vermittelt werden, dass Antworten der KI keineswegs ungeprüft übernommen werden dürfen.

Es bleibt abzuwarten, wie die österreichische Datenschutzbehörde über die Beschwerde entscheiden wird. Es wäre auch möglich, dass es zukünftig Änderungen bei der Datenverarbeitung durch OpenAI geben wird.