- Ingo Goblirsch LL.M. - Datenschutzbeauftragter aus Aachen
- Zugriffe: 48
DSGVO-Gazette #47: Die Nutzung von ChatGPT aus Datenschutzsicht
Liebe Leserinnen und Leser,
ChatGPT kann nun auch mit Datenresidenz in Europa genutzt werden.
Die gute Nachricht zuerst: Dadurch können datenschutzrechtliche Bedenken in Bezug auf den Datentransfers in die USA entschärft werden.
Die Hauptargumente, welche dadurch entschärft werden, sind:
- Die Verarbeitung von Daten in den USA birgt Risiken im Sinne von Art. 44 DSGVO, weil der Schrems-II-Beschluss des EuGH hohe Anforderungen an den Datentransfer in die USA stellt.
- OpenAI bezieht sich auf das EU-U.S. Data Privacy Framework, aber dieses könnte wie das frühere "Privacy Shield" erneut rechtlich gekippt werden. Hier gilt jedoch, dass OpenAI die Möglichkeit bietet, Standardvertragsklauseln (SCCs) mit zusätzlichen Garantien abzuschließen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Diese SCCs sind darauf ausgelegt, ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in Drittländer sicherzustellen.
Das Angebot „Datenresidenz in Europa“ ermöglicht es API-Kunden sowie neuen ChatGPT Enterprise- und Edu-Kunden also nun, ihre Daten innerhalb Europas zu verarbeiten und zu speichern.
Hier sind jedoch zwei Punkte zu beachten:
- Die Datenresidenzoption steht derzeit nur neuen Projekten zur Verfügung. Bestehende Projekte können nachträglich nicht auf europäische Datenresidenz umgestellt werden.
- Diese Funktion ist hauptsächlich für API-Kunden mit Enterprise-Vereinbarungen sowie für neue ChatGPT Enterprise- und Edu-Kunden verfügbar. Für Nutzer der kostenlosen Version und von ChatGPT Plus gilt die Datenresidenz in Europa nicht.
Wie bereits angesprochen, reicht die Datenresidenz in der EU allein nicht aus, um DSGVO-konforme Datensicherheit zu gewährleisten.
Landesdatenschutzbehörden und die Datenschutzkonferenz des Bundes und der Länder (DSK) argumentieren mit dem Zugriff durch US-Geheimdienste (FISA 702 & CLOUD Act), die fehlende vollständige Kontrolle über die Daten und den Alternativen, welche innerhalb der EU vorhanden sind (Aleph Alpha, Mistral AI, usw.). Aber auch bei den letztgenannten bleibt die „Black Box“-KI-Problematik, weil die Nutzung von KI-Modellen bei externen Dienstleistern nicht vollständig überprüfbar ist. Um aus datenschutzrechtlicher Sicht sicher zu gehen, bleiben nur Open-Source-Modelle.
Falls Sie Fragen haben, melden Sie sich einfach.
Viele Grüße aus Aachen
Ingo Goblirsch
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen
Foto von Guillaume Périgois auf Unsplash. Vielen Dank.