ChatGPT & Datenschutz: Das musst du wissen! [2025]

Inhaltsverzeichnis
WordPress langsam?
Wir regeln das für dich!
ChatGPT & Datenschutz Blogbeitragsbild
Inhaltsverzeichnis

Die künstliche Intelligenz ChatGPT öffnet viele neue Möglichkeiten für Unternehmen, aber auch Selbstständige und Privatpersonen. So beantwortet ChatGPT einfache und komplexe Fragen, plant Geburtstagspartys oder schreibt dir ein Python Skript. Dieses Potenzial haben auch Unternehmen erkannt.

In Unternehmen kann ChatGPT zum Beispiel für die Text-Erstellung von Flyern, Websites oder Social Media Accounts genutzt werden. Aber auch allgemeine Fragen, die man vorher mühselig ergoogelte, können durch ChatGPT beantwortet werden.

Künstliche Intelligenz ist eine neue, sich ständig verbessernde Technologie. Jedoch trifft ChatGPT, wie viele neue Technologien, auf altes bestehendes Recht. Aus diesem Grund müssen neue Technologien rechtskonform gestaltet und eingesetzt werden. Bei Online-Angeboten betrifft dies insbesondere das Datenschutzrecht.

Was das alles genau für dich bedeutet, erklären wir dir im nachfolgenden Artikel. Danach weißt du, auf was du aus Datenschutzsicht bei der Nutzung von ChatGPT achten musst!

ChatGPT und Datenschutz

Die Datenschutzgrundverordnung (DSGVO) reguliert die Verarbeitung von personenbezogenen Daten (Daten, welche eine Person identifizieren oder identifizieren können) in der EU. Eine solche Verarbeitung findet ebenso statt, wenn ChatGPT Daten mitgeteilt werden. Dabei sollten die strikten Vorgaben, an welche die Verarbeitung von personenbezogenen Daten gebunden ist, erfüllt werden.

Transparente Verarbeitung

Die Grundsätze der Verarbeitung personenbezogener Daten werden in Art. 5 DSGVO aufgeführt. Diese dienen der Sicherstellung eines rechtmäßigen und angemessenen Umgangs mit personenbezogenen Daten.

Einer dieser Datenschutzgrundsätze für die Verarbeitung personenbezogener Daten ist die transparente Verarbeitung. Der Grundsatz der Transparenzpflicht setzt voraus, dass alle Informationen zur Verarbeitung der Daten sowie die KI-Funktionsweise leicht zugänglich, verständlich und in klarer sowie einfacher Sprache verfasst sind.

Aufgrund des nicht öffentlichen Algorithmus und anderen komplexen Vorgängen, welche bei ChatGPT im Hintergrund stattfinden, ist eine solche informierte, transparente Verarbeitung nicht möglich.

💡 Merke:

Der ChatGPT Algorithmus – also die Funktionsweise von ChatGPT – ist intransparent. Dadurch kann bei der Nutzung von ChatGPT der Datenschutzgrundsatz der transparenten Verarbeitung personenbezogener Daten nicht eingehalten werden.

Kommerzielle Nutzung

Für die kommerzielle Nutzung der OpenAI-API (nicht ChatGPT) wird für zahlende Kunden Zugriff über eine Programmierschnittstelle, auch API genannt, bereitgestellt. Dazu bietet der Betreiber OpenAI LP einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO an. Dieser dient dazu, die Verarbeitung und Datenübertragung zwischen OpenAI und den Kunden zu regeln.

Die rechtliche Situation hinsichtlich der Verantwortlichkeiten ist jedoch nicht eindeutig erfasst worden. Es ist unklar, ob es sich um ein Auftragsverarbeitungsverhältnis handelt oder ob eine gemeinsame oder getrennte Verantwortlichkeit besteht. Die Bedenken ergeben sich aus der Tatsache, dass OpenAI die Daten nicht nur für Trainingszwecke, sondern vermutlich auch für Werbezwecke verarbeitet. Dadurch verfolgt OpenAI auch eigene Interessen, was gegen die Anforderungen einer Auftragsverarbeitung nach Art. 28 Abs. 3 Satz 2 lit. a) DSGVO sprechen könnte.

ChatGPT bestätigt, dass Daten für Trainingszwecke und weitere Zwecke genutzt werden

Gemäß Art. 26 Abs. 1 S. 1 DSGVO besteht eine gemeinsame Verantwortlichkeit, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung festlegen.

Es ist jedoch unwahrscheinlich, dass beide Voraussetzungen erfüllt sind, da das Unternehmen, das die API nutzt, wahrscheinlich kaum Einfluss auf die Verarbeitung bei OpenAI hat und die Mittel zur Verarbeitung nicht gemeinsam festgelegt werden.

Da nur der eigene AVV von OpenAI angeboten wird, ist die rechtliche Situation in Bezug auf die Unterauftragsverarbeitung ebenfalls unklar. Das Unternehmen, das die API nutzt, könnte für seine eigenen Kunden möglicherweise als Auftragsverarbeiter auftreten, was OpenAI zu einem Unterauftragsverarbeiter machen würde. Dieser Aspekt müsste im Verhältnis zwischen dem Unternehmen und seinen Kunden im AVV transparent geklärt sein

💡 Merke:

Da OpenAI die Daten zu internen Trainingszwecken nutzt, entsteht vermutlich eine gemeinsame Verantwortlichkeit zwischen ChatGPT und dem Nutzer, der ChatGPT nutzt. Dadurch ist es notwendig einen Vertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zu schließen.

Datenübertragung

In den Artikeln 44 ff. DSGVO werden besondere Voraussetzungen für die Übertragung personenbezogener Daten in Drittländer aufgeführt. Die Vereinigten Staaten von Amerika werden als ein unsicheres Drittland eingestuft, was bedeutet, dass für die Übertragung von Daten entweder eine Zertifizierung des Unternehmens gemäß dem EU-U.S. Data Privacy Framework vorliegen muss, oder die Standardvertragsklauseln gemäß Art. 28 Abs. 7 DSGVO im Rahmen von Auftragsverarbeitungsverträgen mit zusätzlichen Sicherheitsmaßnahmen enthalten sein sollten.

Die OpenAI-API wird vom US-amerikanischen Unternehmen OpenAI LP angeboten, weshalb bei jeder Eingabe eine Datenweitergabe in die USA stattfindet.

OpenAI ist nicht unter dem neuen Data Privacy Framework zwischen den USA und der EU zertifiziert, weshalb die Übertragung in den AVV-Standardvertragsklauseln geregelt wird. Diese setzen weiterhin die Durchführung eines Transfer Impact Assessments (TIA) für die Übertragung und die Sicherstellung der Sicherheit durch angemessene technische und organisatorische Maßnahmen voraus.

💡 Merke:

ChatGPT ist ein US-amerikanisches Tool, welches wie Microsoft oder Google Tools, personenbezogene Daten in Drittländer überträgt. Bevorzuge im Allgemeinen Tools, Software oder auch Hoster, die ihren Hauptsitz in Europa – besser noch Deutschland haben – und damit der Datenschutzgrundverordnung unterliegen.

Umgang mit KI

Von der Weitergabe personenbezogener Daten oder anderer sensibler Daten an künstliche Intelligenzen wie ChatGPT sollte prinzipiell abgesehen werden. Da sämtliche Daten als Trainingsdaten weiterverwendet werden könnten, besteht die Möglichkeit, dass eingegebene Daten später von der KI an Dritte weitergegeben werden.

Die OpenAI-API bietet in dieser Hinsicht mehr Sicherheit, da die Verarbeitung der Daten im AVV festgelegt wird. Wird die OpenAI-API doch mit der Weitergabe personenbezogener Daten verwendet, so müssen die betroffenen Personen, deren Daten weitergeben werden, entsprechend gemäß Art. 13 DSGVO in Kenntnis gesetzt werden.

Bei allen Projekten, welche künstliche Intelligenz einsetzen, sollte ebenfalls eine Datenschutz-
Folgenabschätzung (DSFA) durchgeführt werden. Eine Datenschutz-Folgenabschätzung ist
ein Instrument zur Identifizierung, Beschreibung, Beurteilung und Minimierung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung grundsätzlich immer dann durchzuführen, wenn die Verarbeitung der Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat. Um dies zu ermitteln, ist vor dem Beginn der Datenverarbeitung eine Risikoanalyse durchzuführen. Wird hierbei ermittelt, dass aller Voraussicht nach durch die vorgesehene Verarbeitung ein hohes Risiko für Betroffene besteht, so ist zwingend eine DSFA durchzuführen.

💡 Merke:

ChatGPT sensible Daten
ChatGPTs Antwort auf die Frage, ob auf die Preisgabe von sensiblen Daten in ChatGPT verzichtet werden sollte.

In ChatGPT sollten keine personenbezogenen Daten, wie zum Beispiel Name, Anschrift, Mail-Adresse oder IP-Adresse, oder andere sensible Daten angegeben werden. Hier kann nicht sichergestellt werden, dass diese Daten nicht weitergegeben oder weiterverarbeitet werden.

Fazit zu Datenschutz & ChatGPT

Von der Nutzung ChatGPTs mit der Eingabe personenbezogener Daten ist im Unternehmen abzuraten. Auch wenn die Verwendung der eigenen Daten für Trainingszwecke in den Einstellungen deaktiviert wird, kann nicht mit Sicherheit bestimmt werden, wie genau die Daten verarbeitet werden.

Die OpenAI-API bietet in diesem Fall mehr Sicherheit, da bestimmte Sicherheitsgarantien durch den AVV und die Standardvertragsklauseln gegeben werden. Jedoch ist auch hier nicht transparent, wie genau Daten verarbeitet werden, weshalb weiterhin von der Angabe personenbezogener oder Unternehmensdaten abgesehen werden sollte.

Bei der Verwendung künstlicher Intelligenz ist es zu empfehlen, den Datenschutz von Anfang an in der Implementierung zu beachten. Unternehmensrichtlinien, transparente Dokumentation, die Durchführung einer DSFA und Mitarbeiterschulungen sind wichtige Bestandteile eines sicheren und rechtmäßigen Umgangs mit künstlicher Intelligenz.

Bild von DEUDAT GmbH
DEUDAT GmbH
Als ein Unternehmen mit inhabergeführter Leitung verfügt die Geschäftsführung über eine mehr als 25-jährige Expertise im Bereich Datenschutz und Informationssicherheit. Ein Team aus versierten Fachleuten und Rechtsanwälten hat sich darauf spezialisiert, Organisationen unabhängig von deren Branche, Größe oder Ausrichtung umfassend in Fragen des Datenschutzes und der Informationssicherheit zu beraten. Die Zielsetzung besteht darin, Ihnen bei der Einführung, Umsetzung und Aufrechterhaltung eines angemessenen Datenschutzniveaus behilflich zu sein. Es wird aufgezeigt, wie die damit verbundenen Herausforderungen durch das entsprechende Fachwissen und eine geeignete Organisationsstruktur sicher und effizient bewältigt werden können. Das Hauptaugenmerk liegt dabei nicht nur auf der Lösung von Problemen und der Minimierung von Risiken, sondern auch darauf, gemeinsam mit den Kunden Werkzeuge zu entwickeln, die zum Erfolg beitragen. Das Unternehmen agiert dabei als starker Partner, der weit über eine reine Problemlösung hinausgeht. Das Leitmotiv des Unternehmens lautet dabei: Einfach, sicher, gut beraten.

Bei Links, die mit einem * markiert sind, handelt es sich um Affiliate Links. Wenn du ein Produkt über diesen Link kaufst, bekommt WPspace eine kleine Provision. Dir entstehen dadurch keine zusätzlichen Kosten oder Nachteile! Das hat keinerlei Einfluss auf unsere Meinung zu einzelnen Produkten und Dienstleistungen – wir empfehlen euch nur, was wir auch selbst lieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert