Neu

ChatGPT und die Europäische Datenschutz-Grundverordnung (GDPR/DSGVO): Status, Risiken und Chancen

Veröffentlicht am von Adelard Armino
ChatGPT und die Europäische Datenschutz-Grundverordnung (GDPRDSGVO) Status, Risiken und Chancen
05
März

Seit der Einführung der Europäischen Datenschutz-Grundverordnung (General Data Protection Regulation, kurz DSGVO oder GDPR) im Jahr 2018 gehören strenge Regeln zur Verarbeitung personenbezogener Daten zum technologischen Alltag. Für Dienste, die Daten von EU-Bürgern verarbeiten, gelten einige der weltweit strengsten Datenschutzstandards. Besonders bei Anwendungen mit künstlicher Intelligenz wie ChatGPT wirft das viele Fragen auf: Wie geht der KI-Dienst mit Daten um? Entspricht er den europäischen Vorgaben? Welche Risiken bestehen für Nutzer und Unternehmen in Deutschland?

In diesem Beitrag ordnen wir den aktuellen Stand der Dinge ein, erläutern konkrete Probleme und zeigen, welche Maßnahmen notwendig sind, um DSGVO-Konformität sicherzustellen.

Was bedeutet DSGVO für KI-Tools wie ChatGPT?

Die DSGVO schützt die Grundrechte von Personen in der EU in Bezug auf personenbezogene Daten. Sie legt unter anderem fest, dass:

  • Daten nur verarbeitet werden dürfen, wenn eine Rechtsgrundlage vorliegt, etwa eine Einwilligung oder vertragliche Notwendigkeit.

  • Verarbeitung transparent und nachvollziehbar sein muss.

  • Personen das Recht haben, ihre Daten einzusehen, zu korrigieren oder löschen zu lassen.

  • Daten nur so lange gespeichert werden dürfen, wie es für den Zweck erforderlich ist.

Für ChatGPT ist entscheidend, ob und wie Eingaben der Nutzer, Chatverläufe, Metadaten und jegliche personenbezogenen Inhalte gesammelt, verarbeitet oder gespeichert werden.

Aktuelle Herausforderungen und Kritikpunkte

1. Datenschutzbedenken und rechtliche Auseinandersetzungen

Ein zentraler Punkt der Debatte sind jüngere Ereignisse, die zeigen, dass GDPR-Konformität bei ChatGPT keineswegs selbstverständlich ist. Im Dezember 2024 verhängte die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) eine Geldbuße von 15 Millionen Euro gegen OpenAI, den Betreiber von ChatGPT, wegen Verstößen gegen die DSGVO. Dabei ging es unter anderem um folgende Vorwürfe:

  • fehlende Rechtsgrundlage für die Verarbeitung persönlicher Daten zur Modell-Weiterentwicklung,

  • mangelnde Transparenz über Datenverarbeitung und Speicherung,

  • unzureichende Altersverifikation für Minderjährige,

  • Versäumnis, eine Datenschutzverletzung von März 2023 den Aufsichtsbehörden zu melden.

Solche Verstöße verdeutlichen, dass selbst globale KI-Anbieter nicht automatisch DSGVO-konform operieren, und dass Datenschutzbehörden in der EU bereit sind, Maßnahmen durchzusetzen.

2. Speicherung und Nutzung von Nutzerdaten

Offizielle Dokumente von OpenAI zeigen, dass der Dienst Daten speichert, um die Leistung zu verbessern und Modelle weiterzuentwickeln. Bei Enterprise- und Business-Varianten besteht die Möglichkeit, eine Datenverarbeitungsvereinbarung (Data Processing Addendum) abzuschließen, um die Einhaltung der DSGVO zu unterstützen. Dabei sind Maßnahmen wie Verschlüsselung und interne Audits vorgesehen, die zeigen, dass der Anbieter Compliance-Bestrebungen unternimmt.

Trotzdem bleibt ein Problem: Bei normalen Endnutzerkonten werden Chats standardmäßig gespeichert, bis der Nutzer sie löscht. Es gibt Hinweise, dass durch Gerichtsbeschlüsse in den USA sogar zuvor gelöschte Chats für bestimmte Zwecke vorerst nicht mehr vollständig gelöscht wurden, was zu Unsicherheiten bezüglich der tatsächlichen Datenlöschung führt.

Diese Speicherung im Cloud-Betrieb, inklusive möglicher Übertragung in Datenzentren außerhalb der EU, steht im Spannungsfeld mit den DSGVO-Prinzipien zur Datenbegrenzung und regionaler Verarbeitung.

3. Transparenz und Recht auf Zugang

Die DSGVO gewährt Betroffenen unter anderem das Recht auf Auskunft über die eigenen Daten und das Recht auf Datenlöschung (Recht auf Vergessenwerden). In der Praxis bedeutet das, dass Nutzer OpenAI dazu auffordern können, sämtliche personenbezogenen Daten offenzulegen oder zu entfernen. Viele EU-Nutzer sind sich dieser Rechte jedoch nicht voll bewusst. Diskussionsbeiträge von EU-Nutzern zeigen, dass Anfragen zu offenen Rechten regelmäßig gestellt werden und teilweise entsprechende Auskünfte erzwungen werden müssen.

Zusätzlich wurde in der Vergangenheit eine Beschwerde durch die Datenschutzorganisation noyb gegen OpenAI eingereicht, weil das Unternehmen nicht in der Lage war, unrichtige Informationen zu korrigieren oder den Datenherkunftsnachweis zu erbringen – ein weiterer Kritikpunkt im Sinne der DSGVO-Rechte auf Genauigkeit und Transparenz.

Strategien für DSGVO-Konformität bei Nutzung von ChatGPT

Trotz der Herausforderungen gibt es praxisnahe Ansätze, um bei der Nutzung von ChatGPT den Datenschutz zu verbessern und DSGVO-Risiken zu minimieren:

1. Nutzung von Enterprise- oder Business-Plänen

Für Unternehmen bietet OpenAI spezielle Vereinbarungen, bei denen Chats nicht zur Modell-Weiterentwicklung verwendet werden, und der Anbieter sich verpflichten kann, Datenschutzstandards einzuhalten. Diese kommerziellen Varianten schließen auch klar definierte Datenverarbeitungsvereinbarungen ein.

2. Regionale Datenverarbeitung

OpenAI hat angekündigt, Unternehmen die Möglichkeit zu geben, Daten in bestimmten Regionen zu speichern, unter anderem auch innerhalb der EU. Dadurch kann die Datenhoheit besser kontrolliert werden und regionale Datenschutzvorgaben erfüllt werden.

3. Anonymisierung und JIT-Technologien

Es gibt technische Methoden wie sogenannte Just-in-Time-Anonymisierung, bei der personenbezogene Daten bereits vor der Übermittlung an externe Server anonymisiert werden. Diese Verfahren verhindern, dass sensible Daten jemals die Systeme des Anbieters erreichen, und reduzieren so das DSGVO-Risiko strukturell.

Fazit: DSGVO und KI-Tools bleiben ein dynamisches Spannungsfeld

Die Beziehung zwischen ChatGPT und der Europäischen Datenschutz-Grundverordnung ist komplex und entwickelt sich weiter. Es gibt Fortschritte in Richtung Compliance, insbesondere auf Unternehmensebene, aber auch erkennbare Risiken und konkrete Verstöße, die Behörden zu Maßnahmen veranlassen. Für Nutzer und Unternehmen in Deutschland gilt daher:

  • bewusst mit Daten umgehen und keine sensiblen Informationen ungeprüft eingeben,

  • DSGVO-Rechte aktiv wahrnehmen (z. B. Auskunft, Löschung),

  • bei geschäftlicher Nutzung auf Enterprise- oder Business-Pläne mit entsprechenden Vereinbarungen setzen,

  • technische Lösungen wie Anonymisierung zur Risikominimierung in Betracht ziehen.

Die DSGVO ist kein starres Hindernis für KI-Innovation – sie ist ein Rahmenwerk, das sicherstellen soll, dass technologische Fortschritte nicht zu Lasten grundlegender Datenschutzrechte gehen. Gerade in Europa bleibt dieser Ausgleich ein zentrales Thema, während KI-Systeme wie ChatGPT weiter professionalisiert und reguliert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert