ChatGPT, Datenschutz und Auftragsverarbeitungsvertrag
ChatGPT und Auftragsverarbeitung: Künstliche Intelligenz ist in aller Munde – insbesondere ChatGPT von OpenAI wird in Unternehmen immer mehr genutzt. Unternehmen stellen sich vermehrt die Fragen, ob und insbesondere wie der Einsatz von ChatGPT datenschutzkonform ausgestaltet werden kann. Neben der Thematik rund um den Drittlandstransfer im Sinn von Art. 44 ff. DSGVO stellt sich eine weitere zentrale Frage: Liegt bei der Nutzung von ChatGPT ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vor, eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO – oder handelt OpenAI sogar eigenverantwortlich? Hier kommt es insbesondere auf das gewählte Lizenzmodell an.
Auftragsverarbeitung oder gemeinsame Verantwortlichkeit
Welche Rollen nehmen Unternehmen bei der Nutzung von ChatGPT ein? Dies kommt tatsächlich auf die gewählte Lizenz an. Aktuell bietet OpenAI folgende Lizenzoptionen an: Free, Pro, Team, Enterprise sowie API.
Auftragsverarbeitung nach Art. 28 DSGVO
Eine Auftragsverarbeitung (AVV) liegt vor, wenn ein Dritter (OpenAI) personenbezogene Daten im Auftrag, im Kern und auf Weisung der Verantwortlichen Stelle verarbeitet. Doch verarbeitet OpenAI personenbezogene Daten im Auftrag, Kern und auf Weisung?
Nutzt ein Unternehmen ChatGPT könnte der Eindruck entstehen, dass OpenAI „nur“ eine technische Dienstleistung bereitstellt – ähnlich einem Hosting-Anbieter. Dies würde grundsätzlich für eine Auftragsverarbeitung sprechen.
Allerdings wäre das nur der Fall, wenn die vom Unternehmen eingegebenen Daten nicht auch von OpenAI für eigene Zwecke weiterverarbeitet werden, wie z.B. zum trainieren des KI-Modells.
OpenAI weist in seiner Datenschutzerklärung explizit darauf hin, dass übermittelte Daten zur Verbesserung der Dienste verwendet werden können, sofern dies nicht in den Einstellungen deaktiviert wird. Doch nur bei bestimmten Lizenzen lässt sich eine Datenweitergabe technisch vermeiden.
Gemeinsame Verantwortung nach Art. 26 DSGVO
Eine gemeinsame Verantwortung nach Art. 26 DSGVO liegt vor, wenn zwei Parteien gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Auch hier müssten die Beteiligten eine Vereinbarung treffen, einen sogenannten Joint-Controller-Vertrag, die insbesondere die jeweiligen Pflichten (Transparenz, Betroffenenrechte etc.) regelt.
Aktuell bietet OpenAI jedoch keinen Joint-Controller-Vertrag an.
Demnach könnte ChatGPT in diesem Fall nicht rechtskonform genutzt werden, da OpenAI die Daten zu eigenen Zwecken weiterverarbeitet, ohne das eine entsprechende Rechtsgrundlage für die Weitergabe an OpenAI vorliegt.
Lizenzmodelle
| Lizenz | AVV | Datenweitergabe |
|---|---|---|
| Free | Nein | Ja |
| Pro | Nein | Ja |
| Team | Ja | Nein |
| Enterprise | Ja | Nein |
| API | Ja | Nein |
ChatGPT Teams, API und Enterprise
In der ChatGPT-Lizenz Team, API und Enterprise ist OpenAI als Auftragsverarbeiter gemäß der DSGVO anzusehen. OpenAI bietet seinen Kunden für diese Lizenzen einen Auftragsverarbeitungsvertrag an und verpflichtet sich damit, die Daten gemäß den Weisungen seiner Kunden zu verarbeiten. Durch den Vertrag von OpenAI soll das Datenschutzrecht betroffener Personen und die Sicherheit der Datenverarbeitung gewährleistet werden.
Bei diesen Lizenzen verpflichtet sich OpenAI die Daten aus dem Chat nicht für Trainingszwecke zu erheben. Und daher können diese Versionen genutzt werden. Dennoch sollte der Umgang mit personenbezogenen Daten auch hier möglichst datensparsam erfolgen – z. B. durch die Verwendung von IDs oder Platzhaltern anstelle realer Namen.
Einen AVV kann unter folgenden Link abgeschlossen werden:
https://openai.com/policies/data-processing-addendum/
Ganz unten befindet sich folgender Link „Execute Data Processing Agreement“, diesem Bitte folgen. Ein neues Fenster erscheint und hier werden Informationen von dem Unternehmen bzw. von dem Account erfragt.
Unter anderem wird nach der „Organisations-ID“ gefragt. Diese ist unter dem OpenAI Account einsehbar:
1. Öffne im Profil „Manage Account“
2. Öffne die „Settings“ und dort ist die Organisation ID einsehbar
Nach dem Ausfüllen wird die Vereinbarung an die angegebene E-Mail-Adresse versendet und kann überprüft werden, bevor eine Zustimmung erfolgt.
Datenweitergabe deaktivieren
Wie die Datenweitergabe bei den Lizenzen Team, Enterprise und API deaktiviert werden kann, wird in den Einstellungen ersichtlich. Mittlerweile ist gerade bei den oben genannten Lizenzen die Datenweitergabe schon per default deaktiviert und kann darüber hinaus auch nicht manuell aktiviert werden.
Sie wollen mehr über ChatGPT, die KI-VO oder über die datenschutzrechtliche Ausgestaltung erfahren?
Fazit: Abschluss eines Auftragsverarbeitungsvertrags nur bedingt möglich
Die Nutzung von ChatGPT in Unternehmen bietet viele Chancen, birgt aber auch datenschutzrechtliche Risiken – insbesondere bei der Verarbeitung personenbezogener Daten. Für eine (möglichst) DSGVO-konforme Nutzung sind Team, API- oder Enterprise-Lizenzen zu nutzen.
Ein Restrisiko im Sinne des Drittlandstransfers bleibt dennoch bestehen. Unternehmen sollten sich davon aber nicht abschrecken lassen. Wichtig ist ein sensibler Umgang mit personenbezogenen Daten und das im Unternehmen datenschutzfreundliche Nutzungsstrategien für den Umgang mit ChatGPT entwickeln werden, z.B. durch die Verwendung von IDs oder Platzhaltern anstelle realer Namen.
