Was ist ChatGPT?
ChatGPT, entwickelt von dem Unternehmen OpenAI, ist im Prinzip ein Chatbot, der allerdings mit Künstlicher Intelligenz funktioniert und daher ausgesprochen leistungsfähig ist. In der Testphase ist ChatGPT Anfang 2023 noch kostenlos, eine kostenpflichtige Version ist aber wohl in der Planung.
Sein Leistungsspektrum erstreckt sich vom Verfassen von Gedichten über Zusammenfassungen von Filmen und wissenschaftlicher wie belletristischer Literatur bis zum Erstellen von Programmiercodes. Das Programm ist grundsätzlich in Englischer Sprache zu bedienen, kann aber auch Übersetzungen in andere Sprachen durchführen. Doch ergeben sich für ChatGPT mit diesen Funktionen und Fähigkeiten auch Anwendungsszenarien im Datenschutz?
Für diejenigen, die ChatGPT noch nicht kennen, haben wir das Programm einfach einmal aufgefordert, sich selbst fiktiven Datenschützer:innen vorzustellen:
ChatGPT ist also ein Programm, das Konversationen zwischen Menschen imitiert und dabei auf eine breite Datenbasis zurückgreift. Ein Teil dieser Daten scheint personenbezogen, da der Input für das Programm unter anderem aus Social Media, Chatverläufen und Kundenservice-Chats stammt. Die Künstliche Intelligenz von ChatGPT verwendet diese Informationen, um auf einer abstrakten Ebene Interaktionsmuster zu erkennen und selbst zu erlernen. Aktuell können Sie ChatGPT noch ausprobieren, während der Testphase steht das Programm kostenfrei zur Verfügung.
Lässt sich ChatGPT im Datenschutzmanagement anwenden?
ChatGPT ist ein hervorragendes Programm für die KI-basierte Texterstellung. Daher stellt sich die Frage, ob es im Datenschutzmanagement zukünftig regelmäßig Anwendung finden wird. Vorstellbar ist der Einsatz zumindest beim Aufsetzen einer Datenschutzerklärung oder bei der Beschreibung von Verarbeitungstätigkeiten. Ob es aber ein belastbares Ergebnis sowie einen Mehrwert bietet, werden wir im nächsten Abschnitt behandeln.
Eine Eigenheit von interaktiven KI-Programmen wie ChatGPT liegt darin, dass sie nicht nur auf eine breite Datenlage, sondern auch auf möglichst präzise Anfragen angewiesen sind – die sogenannten Prompts. Dafür sind die Nutzer:innen verantwortlich, die sich folglich gut mit dem Programm, seinen Anforderungen und Eigenheiten auskennen müssen. Denn der Output ist nur so gut, wie es der Input zulässt.
Im Test: Kann ChatGPT eine Datenschutzerklärung erstellen?
Die Notwendigkeit eines präzisen Prompts zeigt sich bereits bei der Erstellung einer Datenschutzerklärung (DSE). Denn wer von ChatGPT als Unternehmen schlicht eine DSE fordert, erhält zwar einen übersichtlichen Text. Dieser enthält natürlich keine Informationen zu den einzelnen eingesetzten Tools.
Nutzer:innen nähern sich einer rechtskonformen DSE dadurch, dass sie den Prompt immer weiter konkretisieren und beispielsweise die Tools mit ihrem Einsatzzweck auflisten. In unserem Beispiel mussten aber die Adressen einzeln ergänzen, da das Programm dies nicht selbst tut.
In unserem Test hat sich gezeigt, dass je mehr Informationen einem Prompt hinzugefügt werden, desto präziser wird das Ergebnis. So helfen beispielsweise Angaben zum Wirtschaftssektor, in dem das Unternehmen angesiedelt ist, vorgenommene Datenschutzeinstellungen in dem Tool und getroffene geeignete Garantien nach Artikel 44 ff. der DSGVO dem Programm, das bestmögliche Ergebnis zu liefern.
Ein weiterer wichtiger Faktor beim Erstellen einer DSE durch ChatGPT ist ein sprachlich genauer Prompt. Mit detaillierten Anfragen können Datenschützer:innen sich mit ChatGPT einem rechtskonformen Ergebnis zumindest annähern. Schon kleinere Ungenauigkeiten können jedoch dafür sorgen, dass die erstellte DSE des Programms Fehler enthält.
Unser Fazit: ChatGPT stellt bei entsprechend präziser Nutzung sowie der Kontrolle und Überarbeitung des Outputs durch geschultes Personal eine (noch) kostenfreie Alternative zu den sogenannten DSE-Generatoren dar.
So eignet sich die KI-Anwendung momentan beispielsweise eher dafür, Erklärungen für einzelne Tools zu verfassen, die auf einer Webseite eingesetzt werden.
Lässt sich mit ChatGPT ein Verzeichnis von Verarbeitungstätigkeiten aufsetzen?
Beim Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist ChatGPT nur eingeschränkt von Nutzen. Denn ChatGPT ist zwar in der Lage, die Verarbeitungstätigkeiten zu beschreiben. Eine Risikobeurteilung, ob für eine konkrete Verarbeitungstätigkeit eine ausführliche Datenschutz-Folgenabschätzung erforderlich ist oder welche Speicher- und Löschfristen dafür gelten, leistet ChatGPT hingegen nicht.
Beim Erstellen eines VVT gilt im Übrigen wie schon bei der DSE: je präziser der Prompt, desto präziser der Output des Programms. Ein Basic-Prompt wie „Can you describe a data processing activity for email newsletter?” wird kein belastbares Ergebnis liefern – stattdessen sollten Nutzer:innen bestimmte Gesichtspunkte des Newsletters im Prompt herausstellen. Wenn dieser Prompt beispielsweise enthält, welches Tool für den E-Mail-Newsletter eingesetzt wird oder welche Personengruppe von der Verarbeitung betroffen ist, lässt sich ein besseres Ergebnis erzielen.
Unser Fazit: ChatGPT kommt bei der Erstellung von VVTs (aktuell) definitiv an seine Grenzen. Um ein rechtlich angemessenes, nützliches Ergebnis zu erzielen, müssen die im Prompt enthaltenen Informationen derart umfangreich und präzise sein, dass das Formulieren des Prompts länger dauern kann als das eigenständige Aufsetzen eines VVT. Und selbst wenn der Prompt gelungen ist, besteht immer noch die Gefahr, dass ChatGPT ein fehlerhaftes Ergebnis liefert. Deshalb fällt bei jedem Output eine Kontrolle an, die mögliche Anpassungen und weiteren zeitlichen Aufwand nach sich zieht.
Worauf sollten Datenschützer:innen bei der Anwendung von ChatGPT achten?
ChatGPT gibt uns zumindest auf diese Frage eine passende Antwort:
Außerdem überprüfen die Entwickler:innen von ChatGPT die Konversationen, um sichere und verantwortungsvolle Inhalte zu gewährleisten und die Entwicklung des Programms voranzubringen.
Es ist darüber hinaus nicht möglich, bestimmte Prompts zu löschen. Daher ist größte Sorgfalt bei der Eingabe von Informationen geboten. Weitere Auskünfte zur Speicherung und Verarbeitung der eingegebenen Daten stellt OpenAI in seiner Privacy Policy und seinen Terms of Use bereit.
Wie wir bereits gesehen haben, sollten Datenschützer:innen sich zudem nicht blind auf die Ergebnisse von ChatGPT verlassen. Das sehen die Entwickler:innen von OpenAI selbst übrigens genauso und raten in ihren FAQs: „We’d recommend checking whether responses from the model are accurate or not.“
Unser Fazit
In den von uns untersuchten Anwendungsszenarien liefert ChatGPT einen begrenzten Mehrwert. Sowohl bei der Erstellung einer Datenschutzerklärung als auch bei der Formulierung einer Verarbeitungstätigkeit ist die erhaltene Qualität mit einer ungeprüften Vorlage aus dem Internet vergleichbar. Schließlich benötigt es weiterhin im Datenschutzrecht geschulte Menschen, um den Anforderungen der DS-GVO nachzukommen.
Da sich die Künstliche Intelligenz laufend verbessert, werden wir jedoch unser Fazit regelmäßig hinterfragen müssen.