Datenschutzrechtliche Herausforderungen beim Einsatz von generativen KI-Systemen wie ChatGPT

Der Einsatz von Künstlicher Intelligenz (KI), insbesondere von Large Language Models (LLMs) wie ChatGPT, bietet Unternehmen großes Effizienzpotenzial. Gleichzeitig wirft er jedoch wesentliche datenschutzrechtliche Fragen auf. Der Einsatz dieser Technologie ist derzeit durch fehlende konkrete Rechtsprechung und unklare regulatorische Vorgaben mit entsprechenden rechtlichen Risiken behaftet, die entsprechend beachtet werden sollten.

Anwendungsbereich der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) greift immer dann, wenn personenbezogene oder pseudonymisierte Daten verarbeitet werden. Bereits eine indirekte Identifizierbarkeit einer Person reicht aus, um in den Anwendungsbereich der DSGVO zu fallen. Zwar kann durch Anonymisierung versucht werden, den Personenbezug auszuschließen, doch bei besonders leistungsstarken KI-Modellen wie ChatGPT ist Vorsicht geboten. Diese Systeme können auch aus vermeintlich neutralen Daten durch die Kombination einer Vielzahl öffentlicher Quellen neue Rückschlüsse ziehen und so möglicherweise einen Personenbezug wiederherstellen. Daher ist es notwendig, auch bei scheinbar unkritischen Datenverarbeitungen ein hohes Maß an datenschutzrechtlicher Sorgfalt walten zu lassen.

Rollenverteilung: Verantwortlicher oder Auftragsverarbeiter?

Zweck und Rechtsgrundlage der Datenverarbeitung

Grundsatz der Transparenz

Neben der Rechtmäßigkeit und Zweckbindung ist der Transparenzgrundsatz ein wesentlicher Eckpfeiler der DSGVO. Nutzer:innen müssen nachvollziehen können, welche Daten erhoben, wie sie verarbeitet und zu welchen Zwecken sie verwendet werden. Bei KI-Systemen wie ChatGPT gestaltet sich dies jedoch schwierig, da die Datenflüsse und Funktionsweisen oft technisch komplex und für Lai:innen schwer verständlich sind. Damit werden die vorgeschriebenen Informationspflichten in vielen Fällen faktisch nur schwer zu erfüllen sein, insbesondere dann wenn aus dem gewählten Modell die Verarbeitung unklar bleibt oder die entsprechenden Informationen nicht zugänglich sind.

Drittlandtransfer

Unabhängig davon, ob der KI-Anbieter als Verantwortlicher oder als Auftragsverarbeiter handelt, ist die Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU oder des EWR nur unter den Voraussetzungen der Art. 44 ff DSGVO zulässig. Dies gilt insbesondere für die USA, wo viele Anbieter generativer KI ihren Sitz haben.

Liegt für das betreffende Drittland kein Angemessenheitsbeschluss der Europäischen Kommission vor, müssen andere geeignete Garantien, insbesondere Standardvertragsklauseln, herangezogen werden. Bei Anbietern mit Sitz in den USA ist im Einzelfall zu prüfen, ob sich das jeweilige Unternehmen dem EU-U.S. Data Privacy Framework angeschlossen hat. Ist dies nicht der Fall, sind Standardvertragsklauseln in Verbindung mit gegebenenfalls erforderlichen zusätzlichen Schutzmaßnahmen notwendig.

Aufgrund der rechtlichen Risiken im Zusammenhang mit Drittlandtransfers bieten einige Anbieter mittlerweile Lösungen an, bei denen die Datenverarbeitung ausschließlich auf Servern innerhalb der EU oder des EWR erfolgt.

Fazit

KI-Systeme wie ChatGPT können zweifellos erhebliche Effizienzgewinne für Unternehmen bieten. Dennoch bestehen aktuell noch erhebliche datenschutzrechtliche Unsicherheiten. Diese hängen wesentlich auch vom eingesetzten Modell und der Vereinbarung mit dem Anbieter ab. Die Risiken im Rahmen des Prompting sollten jedenfalls durch Schulungen und entsprechenden Richtlinien und Anweisungen adressiert werden.

15. Mai 2025

Dr. Ivo Rungg

ist Rechtsanwalt und Partner bei BINDER GRÖSSWANG. Er beschäftigt sich unter anderem mit großem Interesse mit dem Recht hinter der Digitalisierung, Datenökonomie und neuen Technologien.

Literatur zum Thema