Nehmen wir an, es gibt ein Software Produkt, dass mit persönlichen Daten wie Adressen und Telefonnummern arbeitet. Es gibt auch andere Daten in der Datenbank, aber wir konzentrieren uns nur auf diese hier. Dies ist eine Unternehmenssoftware, keine “Desktop-Anwendung vom MediaMarkt”. Das Unternehmen hat also seine Kunden(end-user), die natürlich einen Vertrag mit dem Unternehmen haben, sagen wir auch eine Datenschutzerklärung ist dabei.
Jetzt hat diese Unternehmenssoftware ein Feature: um die Kundenanfragen noch besser bearbeiten zu können, schickt sie die Daten inkl. Adresse zu GenAI, sagen wir ChatGPT. Jetzt die Frage: reicht es, wenn das Unternehmen die Kunden
Ins Kenntnis setzt, dass die Daten zu ChatGPT verschickt werden
Die Einwilligung vom Kunden einfordert
Eine Widerspruchsmöglichkeit dem Kunden gibt (dann kann der Kunde die Software nur eingeschränkt nutzen)
Mit der Einwilligung wäre Art 6 (1) a) DSVGO eigentlich erfüllt. Aber reiht es für das Unternehmen aus um “datenschutzrechtlich” auf der sicheren Seite zu sein? Vermutlich nicht.
Dann gibt es die Verpflichtung zur Transparenz. Eigentlich muss das Unternehmen dem Kunden erklären zu können, was mit seinen Daten genau gemacht wird, so wie ich es verstehe. Aber das kann das Unternehmen faktisch nicht, weil es die Algorithmen von ChatGPT (amerikanischer Anbieter) nicht kennt und nicht kennen wird.
Zu sagen “dann lässt man halt Finger von ChatGPT” steht nicht zur Debatte, da unternehmerische Entscheidung, die fest steht. Es geht nur darum zu versuchen die Risiken zu minimieren.
Dann gibt es Art. 22 DSVGO. Kann man durch die Einwilligung des Kunden eigentlich auch erfüllen…
Eigentlich wäre die Frage noch komplizierter gewesen, weil man annehmen muss, dass das Unternehmen Geschäfte nicht nur in der EU macht, und auch Server nicht nur in der EU stehen hat. Aber wir bleiben erstmal nur bei DSVGO.
Ja, ich weiß, eine endgültige Lösung gibt es momentan nicht. Viel Literatur darüber, aber nicht so viele Antworten.
Bei einer Einwilligung stellt sich immer auch die Frage, was man macht, wenn der Betroffene diese zurückzieht. Das sieht bei einer sog. “KI” wohl eher schlecht aus. Von daher wäre ich skeptisch.
Wenn der User die Einwilligung zurückzieht, würde es bedeuten, dass seine pers.Daten nicht mehr in einem Prompt(“inference-call”) zu Generative AI geschickt werden dürfen und der Kunde evtl. schlechtere Ergebnisse von der Software zu erwarten hat. Die Software würde “weniger gut” funktionieren, im Extremfall gar nicht mehr funktionieren. Dann würde der Kunde sich überlegen ob er diese Software überhaupt noch nutzen will, vielleicht sogar die Lizenz zurückgeben.
Aber die Daten, die vor der Zurückziehung der Einwilligung bereits gesendet wurden, können nicht mehr “zurückgeholt” bzw. gelöscht werden. Die Verarbeitung geht also auch ohne Einwilligung dann weiter - was eigentlich nicht sein dürfte. Das ist eben das Problem an diesen “KI”-Systemen.
Na ja, die Einwilligung würde ja für die Übermittlung an einen Dritten bis zum Widerruf gelten. Ab dem Widerruf dürften nicht erneut Daten dorthin übermittelt werden, aber die bisherigen waren zulässig. Aus Sicht des Verantwortlichen.
Der KI-Dienst bräuchte für seine eigenen Verarbeitungen personenbezogener Daten unter eigener Verantwortung eine eigene Rechtsgrundlage. Das wird i. d. R. berechtigte Interessen sein. Der Dienst kann seine Informationspflicht als Verantwortlicher sowie Betroffenenrechte (v. a. Widerspruch, Löschung) nur umsetzen, wenn er anhand der Daten in der Lage dazu ist. Hat er Kontaktdaten und kann nicht davon ausgehen, dass er Betroffene z. B. aufgrund einer eigenen Beziehung anderweitig informieren kann, muss er sie kontaktieren. Unabhängig von Informationspflicht und Kontaktdaten müsste er Betroffenenrechte gewähren, wenn jemand z. B. eine vorhandene Werbe-ID angibt; z. B. auf die Auskunft des beauftragenden Unternehmens über Datenempfänger hin, oder auf Verdacht, dort etwas gespeichert wäre, bzw. nachdem das KI-System personenbeziehbare Daten ausgespuckt hat.
Anders sieht es bei einem Dienst aus, der Auftragsverarbeiter ist. Hier hätte der verantwortliche Auftraggeber -Widerrufe und Betroffenenrechte beim Dienstleister umsetzen zu lassen. (Irdendwie noch vorhandene Angaben zur Person löschen bzw. aus dem Sprachmodell… herauskratzen.)
D., der in der Praxis feststellen muss, dass die Verantwortlichen oft nicht genug wissen, um Daten übermitteln bzw. auslagern zu dürfen. Oder dass Dienste die Trennung zwischen Auftragsverarbeitung (wenn sie sie denn anbieten) und Übermittlung für eigene Zwecke verschleiern; untauglich.
Gut. Danke.
Wir haben hier ChatGPT als Beispiel genommen. Gehen wir davon aus, dass es einen Vertrag mit dem ChatGPT-Betreiber besteht, der sich verpflichtet hat die Prompt-Daten nach dem Abschicken der Antwort zeitnah wider zu löschen und sie für keine andere Zwecke zu verwenden.
Wären wir dann sauber?