Datenschutzrisiken: Verbot von ChatGPT in Italien

Hintergrund des Verbots sollen Verstöße von ChatGPT gegen Bestimmungen des Datenschutzrechts sein (Mitteilung der Behörde finden Sie hier). Nach Auffassung der GPDP fehlt es unter anderem an einer Rechtsgrundlage für die umfangreiche Speicherung und Verarbeitung der Daten Betroffener sowie an einer ausreichenden und transparenten Information der Nutzer und betroffenen Personen über die Verwendung Ihrer Daten. 

Die GPDP war im Zusammenhang mit der Meldung einer Datenpanne durch ChatGPT am 20. März 2023, die die Unterhaltungen der ChatGPT-Nutzer und die Informationen über die Zahlungen der Abonnenten des Dienstes betraf, auf die Punkte aufmerksam geworden. 

ChatGPT hat nun Zeit sich zu den Feststellungen der GPDP und etwaigen ergriffenen Maßnahmen zum Schutz der personenbezogenen Daten und der Betroffenen zu äußern. 

Vorsicht bei Angabe personenbezogener Daten bei ChatGPT 

Die ergriffenen Maßnahmen der GPDP zeigen einmal mehr, dass bei der Nutzung und dem Einsatz von KI viele (datenschutz-)rechtliche Vorgaben zu beachten sind. Das gilt nicht nur für Anbieter von auf künstlicher Intelligenz basierenden Chatbots oder sonstigen Unternehmen, die KI einsetzen, sondern ebenfalls für die Nutzer solcher Chatbots.  

Sollten sie bei der Nutzung von ChatGPT Angaben machen, die auf eine Person unmittelbar oder zumindest mittelbar abstellen, liegt eine Verarbeitung personenbezogener Daten vor. Nach den "Terms and Conditions" von OpenAI kann ChatGPT die jeweiligen Angaben dahingehend nutzen, den KI-Chatbot weiterzuentwickeln. Auf diese Weise ist es nicht ausgeschlossen, dass die von den Nutzern eingegebenen personenbezogenen Daten bei anderen Nutzern von ChatGPT angezeigt werden können. Dies kann datenschutzrechtlich vor allem dann problematisch werden, wenn es sich um Daten Dritter handelt. 

Diese Datenweitergabe kann einen Datenschutzverstoß begründen. Besonders kritisch kann eine Datenverarbeitung und -weitergabe werden, wenn es sich um besondere personenbezogene Daten, wie bspw. Gesundheitsdaten handelt. Hier dürfte es grundsätzlich an einer Rechtsgrundlage zur Datenweitergabe fehlen.  

Ebenfalls steht in diesem Zusammenhang eine Datenübermittlung in die USA im Raum, da es sich bei OpenAI um ein US-Unternehmen handelt, die nach derzeitiger Rechtslage ohne den Abschluss entsprechender Vereinbarungen (bspw. EU-Standarddatenschutzklauseln) regelmäßig datenschutzrechtswidrig erfolgt.  

Vor dem Hintergrund sollten sich vor allem Unternehmen und Arbeitgeber Gedanken machen, wie und ob sie die Nutzung von ChatGPT oder anderen im Internet zugänglichen KI-Anwendungen durch ihre Mitarbeiter zulassen. Es besteht das Risiko, dass eine unzulässige Datenverarbeitung dem Arbeitgeber zugerechnet wird. Der Arbeitgeber sollte seine Mitarbeiter daher darauf hinweisen, dass bei der Nutzung von ChatGPT und ähnlichen Diensten keine personenbezogenen Daten von Arbeitskollegen, Kunden oder sonstigen Geschäftspartnern angegeben werden dürfen oder den Zugriff auf den Anbieter intern sperren. 

Es bleibt abzuwarten, wie sich die deutschen Datenschutzaufsichtsbehörden zukünftig zur Nutzung von KI-Sprachmodellen wie ChatGPT positionieren werden.