ChatGPT: Hoheit über Daten und Freiheit

ChatGPT hat die Art und Weise der Kommunikation im digitalen Raum nachhaltig verändert. Mit dieser Innovation entfachte allerdings auch die Diskussion über den Einfluss auf Daten und Freiheiten: Wie geht die Firma OpenAI, die hinter dem Chatbot ChatGPT steht, mit ihrer Hoheit über die Daten ihrer Nutzer:innen um? Ein Artikel darüber, auf welche Daten OpenAI zugreift, was mit den Daten passiert, ob ChatGPT DSGVO-konform ist und wie Unternehmen KI-Chatbots datenschutzkonform einsetzen können.

Über den Autor

Robert Weber ist Chief Marketing Officer bei moinAI. 

Auf welche Daten greift ChatGPT zu?

In der Datenschutzerklärung von OpenAI wird aufgelistet, wie das Unternehmen im Zusammenhang mit ChatGPT Daten sammelt. Dies lässt sich in zwei Kategorien unterteilen. Auf der einen Seite werden Daten erfasst, die die Nutzer:innen bereitstellen, wenn sie ein Konto erstellen oder mit dem Unternehmen in Kontakt treten. Auf der anderen Seite werden Daten gesammelt, sobald Nutzer:innen mit ChatGPT interagieren.

Bei der Kontoerstellung werden folgende Informationen erfasst:

  • Name und Kontaktdaten (Bei der kostenpflichtigen Version von ChatGPT werden auch die Kontoinformationen, die Zahlungskartendaten und die Transaktionshistorie erfasst).
  • Persönliche Informationen, die in den Eingaben, Dateiuploads oder Feedbacks enthalten sind.
  • Inhalte der Nachrichten zur Kommunikation mit OpenAI.
  • Informationen aus sozialen Medien bei Kontaktaufnahme über diese Kanäle sowie Zugriff auf Informationen durch die bereitgestellten Analysedaten der Plattformen.
  • Daten aus Veranstaltungen oder Umfragen sowie Informationen zur Feststellung Ihrer Identität, die Nutzer:innen preisgeben.

Bei der Interaktion mit ChatGPT werden folgende Informationen erfasst:

  • Protokolldaten, die der Browser oder das Gerät automatisch sendet. Hierzu gehören die IP-Adresse, der Browsertyp und -einstellungen, Datum und Uhrzeit der Anfrage und wie mit den Diensten interagiert wird.
  • Nutzungsdaten: Informationen über die Nutzung der Dienste (z.B. die Arten von Inhalten, die Nutzer:innen anzeigen oder mit denen Nutzer:innen interagieren, die genutzten Funktionen und die von Nutzer:innen unternommenen Aktionen), die Zeitzone, das Land, das Datum und die Uhrzeit des Zugriffs, den Benutzeragenten und die Version, die Art des Computers bzw. des Mobilgeräts sowie die Computerverbindung.
  • Namen des Geräts, das Betriebssystem und Gerätekennungen.
  • Daten, die aus Cookies gewonnen werden können.

Sind meine Daten bei ChatGPT sicher?

Gemäß OpenAIs Prinzipien speichert ChatGPT Daten, die für die Interaktionen mit dem Modell verwendet werden, normalerweise nicht dauerhaft. OpenAI hat sich darauf festgelegt, Daten nur für eine begrenzte Zeit zu speichern, in der Regel für rund 30 Tage.

Dies bedeutet, dass die Informationen, die während einer Chat-Sitzung eingegeben werden, nicht dauerhaft in der Datenbank gespeichert werden. Es werden dabei nur Daten erfasst, die auch unbedingt notwendig sind.

Darüber hinaus ist die Kommunikation zwischen den Nutzer:innen und dem Server verschlüsselt, sodass Fremde keinen Zugriff auf die Daten haben. Zudem werden in regelmäßigen Abständen Sicherheitsvorkehrungen getroffen, um die Datensicherheit aufrechtzuerhalten.

Dennoch weist sogar OpenAI selbst darauf hin, dass Informationen in Verbindung mit ChatGPT Risiken unterliegen und eine absolute Sicherheit nicht garantiert werden kann. Es empfiehlt sich daher, keine vertraulichen und persönlichen Daten mit ChatGPT zu teilen.

Werden meine Daten von ChatGPT an Dritte verkauft?

Leider herrscht nach wie vor noch keine vollständige Transparenz seitens OpenAI darüber, auf welche Art und Weise Daten verarbeitet und an wen sie weitergegeben werden.

Klar ist, dass persönliche Informationen in bestimmten Situationen an Dritte übermittelt werden können. Empfänger:innen dieser Daten sind beispielsweise Dienstleister und Serviceanbieter, Regierungsbehörden, Branchenkollegen, Tochtergesellschaften oder Geschäftskonto-Administratoren. Aber auch mit angebundenen Drittanbietern teilt ChatGPT teilweise Daten.

Auch aggregierte Daten, die in allgemeiner und anonymisierter Form vorliegen, können an Dritte weitergegeben oder veröffentlicht werden. Es darf nicht möglich sein, diese Daten mit Einzelpersonen in Verbindung zu bringen – es sei denn, dies ist gesetzlich vorgeschrieben.

Ist ChatGPT DSGVO-konform?

Dass ChatGPT erhebliche datenschutzrechtliche Herausforderungen mit sich bringt, ist mittlerweile eine gesetzte Tatsache. Besonders mit der Datenschutz-Grundverordnung (DSGVO), der europäischen Rechtsgrundlage für die Verarbeitung personenbezogener Daten, lässt sich OpenAIs KI-Chatbot in vielerlei Hinsicht nicht vereinbaren. Hierbei gibt es verschiedene Aspekte, bei denen ChatGPT aneckt:

Datenverarbeitung

Laut DSGVO ist eine Datenverarbeitung lediglich gestattet, sofern gemäß Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage dafür besteht. Die Datenverarbeitung muss also beispielsweise durch klar ersichtliche vertragliche Pflichten oder vergleichbare Verbindlichkeiten gerechtfertigt sein. Ist dies nicht der Fall, muss zur Verarbeitung der Daten eine Einwilligung der betroffenen Personen eingeholt werden. Aufgrund fehlender Transparenz von OpenAI können Unternehmen nicht ausreichend über ChatGPTs Datenverarbeitung informieren, sodass auch eine Einwilligung seitens der Nutzer:innen so gut wie ausgeschlossen ist.

Drittländer

Dadurch, dass die Server von ChatGPT sich in den USA befinden, werden personenbezogene Daten auch dort und eventuell sogar in anderen, aus europäischer Sicht unsicheren Drittländern, verarbeitet. Die Übermittlung und Verarbeitung von Daten in den USA ist aufgrund einer fehlenden
Rechtsgrundlage zwischen der EU und den USA nur unter Einhaltung strenger und schwer zu erfüllender Voraussetzungen gestattet, die eine datenschutzkonforme Nutzung von ChatGPT in Unternehmen deutlich erschwert.

Transparenz

Um als DSGVO-konform zu gelten, müssen Unternehmen unter anderem den Artikel 13 der Verordnung einhalten. Dieser besagt, dass Firmen betroffene Personen transparent darüber aufklären müssen, welche Daten verarbeitet und an wen die Informationen übermittelt werden. Da OpenAI nicht ausreichend über die Datenverarbeitung und Algorithmen kommuniziert, können Unternehmen nicht genau sicher sein, was mit den personenbezogenen Daten geschieht und dies entsprechend auch nicht an betroffene Personen übermitteln.

ChatGPT Daten löschen lassen

In Reaktion auf die Kritik, die die Öffentlichkeit in Hinblick auf den Datenschutz bei ChatGPT geäußert hat, hat OpenAI ein paar neue Features zur Datenkontrolle eingeführt.

Zum einen ist es möglich, ChatGPTs Nutzung der eigenen Daten einzuschränken, indem man als Nutzer:in den anonymen Modus einstellt. In diesem Inkognito-Modus, den man in seinen Einstellungen aktivieren kann, darf die KI die Konversationen nicht speichern oder für Trainingszwecke verwenden.

Zum anderen haben Nutzer:innen in den Einstellungen unter “Datenkontrolle” die Möglichkeit, ihr Konto permanent zu löschen. Diese deutlich drastischere Methode kann nicht rückgängig gemacht werden und führt dazu, dass die bereits genutzte E-Mail-Adresse und Telefonnummer nicht für einen neuen ChatGPT-Account wiederverwendet werden kann.

ChatGPT Datenleaks

Dass die Eingabe vertraulicher Daten bei ChatGPT mit ernstzunehmenden Risiken verbunden ist und zu Datenleaks führen kann, mussten nicht nur Privatpersonen, sondern auch manche Großkonzerne auf die harte Tour lernen.

So kam es, dass Samsung-Ingenieure ChatGPT unter anderem dafür nutzten, einen fehlerhaften Quellcode zu korrigieren. Ein Mitarbeiter bat ChatGPT beispielsweise, ein Prüfmuster zur Identifizierung defekter Chips zu optimieren. ChatGPT verfügte so über geheime Geschäftsinformationen von Samsung, die es speichern und zum Training der KI verwenden konnte. Samsung entschied sich infolge dieses Datenlecks, einen eigenen Chatbot für interne Zwecke zu entwickeln und Mitarbeitende mithilfe von Schulungen über den sicheren Umgang mit künstlicher Intelligenz aufzuklären.

Auch Privatpersonen waren bereits mit Datenleaks von ChatGPT konfrontiert. Im März 2023 musste OpenAI ChatGPT zeitweise offline nehmen, da Nutzer:innen auf vertrauliche Informationen anderer Personen Zugriff hatten. Hierbei handelte es sich um Daten wie Vorund Nachnamen, die E-Mail- und Zahlungsadresse, die letzten vier Ziffern der Kreditkartennummern sowie das Ablaufdatum der Kreditkarte.

Fazit

Auch wenn OpenAI unter Druck öffentlicher Datenschutzbehörden fortschreitend daran arbeitet, datenschutzrechtliche Herausforderungen zu beheben, so bleibt die Nutzung von ChatGPT mit einigen Risiken verbunden.

Während die Verwendung des Tools für private Zwecke ohne das Teilen personenbezogener Daten sowie für unbedenkliche berufliche Anliegen, die transparent kommuniziert werden können, praktisch ist, so scheint eine konkrete Einbindung von ChatGPT in Unternehmensprozesse problematisch. Die Tatsache, dass wenig Transparenz hinsichtlich der Datenverarbeitung herrscht und die Inhalte des Chats nicht kontrolliert werden können, spricht dafür, dass Unternehmen bei der Verwendung von ChatGPT keine Hoheit über ihre Daten und Freiheiten haben.

Um sich die Vorteile künstlicher Intelligenz zunutze machen zu können, sollten Unternehmen deshalb einen geeigneten, DSGVO-konformen Anbieter für KI-Chatbots auswählen. Wichtig ist dabei zum einen, dass die KI zwar die Freiheit hat, sich weiterzuentwickeln und stetig zu lernen. Zum anderen sollte aber auch die Möglichkeit der Kontrolle garantiert werden.

So müssen Nutzer:innen in der Lage sein, umfassende Transparenz im Hinblick auf Datenbestimmungen zu erhalten. Personen, die den Chatbot verwalten, sollten im Gegenzug aber auch Hoheit über die Inhalte, die der Chatbot ausspielt, besitzen, um die Herausgabe unerwünschter oder geschäftsschädigender Informationen zu vermeiden.

Einen KI-Chatbot DSGVO-konform und sicher einzusetzen ist also mit ChatGPT nicht gegeben. Wie und womit es funktionieren kann, erfahren Sie in diesem kostenlosen Webinar: moinAI Keynote: eine neue Chatbot-Ära mit Generativer KI.

moinAI ist die selbstlernende KI-Chatbot-Lösung für die digitale Kundenkommunikation von Unternehmen. Ganz gleich, ob Marketing, Sales oder Kundenservice – moinAI ist die Automatisierungsmöglichkeit, die dabei hilft, rund um die Uhr, schnell und effizient auf Anfragen zu reagieren. Je nach Use-Case resultiert dies z.B. in Vorteilen, wie einer erhöhten Kundenzufriedenheit, mehr automatisierten Leads, einer gesteigerten Conversion-Rate und einer Reduzierung des Support-Volumens. Inzwischen nutzen über 100 Unternehmen moinAI – darunter American Express, der Spiegel, Velux und Blume 2000. Kurzlebenslauf des Autors Robert Weber ist Chief Marketing Officer im KI-Unternehmen moinAI (knowhere GmbH), das sich auf intelligente Chatbots spezialisiert. Er ist Experte für Chatbots & künstliche Intelligenz und verantwortlich für die Entwicklung der gesamten Marketingstrategie des Unternehmens.