ChatGPT: Chancen und Limits der Anwendung beim Datenschutz

von Björn Möller, Co-Founder & CEO
17. Februar 2023
5 Minuten
Anfang 2023 ist OpenAI mit seiner Anwendung ChatGPT über alle Branchen hinweg das Gesprächsthema Nummer eins. Insbesondere in den sozialen Netzwerken überschlagen sich die Anwendungsbeispiele für Künstliche Intelligenz. Viele Expert:innen im IT- und Datenschutzrecht beschäftigen sich noch mit der Frage, ob man ChatGPT überhaupt nutzen darf bzw. sollte. Uns bei caralegal beschäftigt dagegen vielmehr die Frage, ob ChatGPT für ein besseres Datenschutzmanagement eingesetzt werden kann und welche Anwendungsszenarien heute bereits Sinn machen.

Was ist ChatGPT?

ChatGPT, entwickelt von dem Unternehmen OpenAI, ist im Prinzip ein Chatbot, der allerdings mit Künstlicher Intelligenz funktioniert und daher ausgesprochen leistungsfähig ist. In der Testphase ist ChatGPT Anfang 2023 noch kostenlos, eine kostenpflichtige Version ist aber wohl in der Planung.

Sein Leistungsspektrum erstreckt sich vom Verfassen von Gedichten über Zusammenfassungen von Filmen und wissenschaftlicher wie belletristischer Literatur bis zum Erstellen von Programmiercodes. Das Programm ist grundsätzlich in Englischer Sprache zu bedienen, kann aber auch Übersetzungen in andere Sprachen durchführen. Doch ergeben sich für ChatGPT mit diesen Funktionen und Fähigkeiten auch Anwendungsszenarien im Datenschutz?

Für diejenigen, die ChatGPT noch nicht kennen, haben wir das Programm einfach einmal aufgefordert, sich selbst fiktiven Datenschützer:innen vorzustellen:
ChatGPT ist also ein Programm, das Konversationen zwischen Menschen imitiert und dabei auf eine breite Datenbasis zurückgreift. Ein Teil dieser Daten scheint personenbezogen, da der Input für das Programm unter anderem aus Social Media, Chatverläufen und Kundenservice-Chats stammt. Die Künstliche Intelligenz von ChatGPT verwendet diese Informationen, um auf einer abstrakten Ebene Interaktionsmuster zu erkennen und selbst zu erlernen. Aktuell können Sie ChatGPT noch ausprobieren, während der Testphase steht das Programm kostenfrei zur Verfügung.

Lässt sich ChatGPT im Datenschutz­management anwenden?

ChatGPT ist ein hervorragendes Programm für die KI-basierte Texterstellung. Daher stellt sich die Frage, ob es im Datenschutzmanagement zukünftig regelmäßig Anwendung finden wird. Vorstellbar ist der Einsatz zumindest beim Aufsetzen einer Datenschutzerklärung oder bei der Beschreibung von Verarbeitungstätigkeiten. Ob es aber ein belastbares Ergebnis sowie einen Mehrwert bietet, werden wir im nächsten Abschnitt behandeln.

Eine Eigenheit von interaktiven KI-Programmen wie ChatGPT liegt darin, dass sie nicht nur auf eine breite Datenlage, sondern auch auf möglichst präzise Anfragen angewiesen sind – die sogenannten Prompts. Dafür sind die Nutzer:innen verantwortlich, die sich folglich gut mit dem Programm, seinen Anforderungen und Eigenheiten auskennen müssen. Denn der Output ist nur so gut, wie es der Input zulässt.

Im Test: Kann ChatGPT eine Datenschutz­erklärung erstellen?

Die Notwendigkeit eines präzisen Prompts zeigt sich bereits bei der Erstellung einer Datenschutzerklärung (DSE). Denn wer von ChatGPT als Unternehmen schlicht eine DSE fordert, erhält zwar einen übersichtlichen Text. Dieser enthält natürlich keine Informationen zu den einzelnen eingesetzten Tools.

Nutzer:innen nähern sich einer rechtskonformen DSE dadurch, dass sie den Prompt immer weiter konkretisieren und beispielsweise die Tools mit ihrem Einsatzzweck auflisten. In unserem Beispiel mussten aber die Adressen einzeln ergänzen, da das Programm dies nicht selbst tut.

In unserem Test hat sich gezeigt, dass je mehr Informationen einem Prompt hinzugefügt werden, desto präziser wird das Ergebnis. So helfen beispielsweise Angaben zum Wirtschaftssektor, in dem das Unternehmen angesiedelt ist, vorgenommene Datenschutzeinstellungen in dem Tool und getroffene geeignete Garantien nach Artikel 44 ff. der DSGVO dem Programm, das bestmögliche Ergebnis zu liefern.

Ein weiterer wichtiger Faktor beim Erstellen einer DSE durch ChatGPT ist ein sprachlich genauer Prompt. Mit detaillierten Anfragen können Datenschützer:innen sich mit ChatGPT einem rechtskonformen Ergebnis zumindest annähern. Schon kleinere Ungenauigkeiten können jedoch dafür sorgen, dass die erstellte DSE des Programms Fehler enthält.
Unser Fazit: ChatGPT stellt bei entsprechend präziser Nutzung sowie der Kontrolle und Überarbeitung des Outputs durch geschultes Personal eine (noch) kostenfreie Alternative zu den sogenannten DSE-Generatoren dar.

So eignet sich die KI-Anwendung momentan beispielsweise eher dafür, Erklärungen für einzelne Tools zu verfassen, die auf einer Webseite eingesetzt werden.

Lässt sich mit ChatGPT ein Verzeichnis von Verarbeitungs­tätigkeiten aufsetzen?

Beim Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist ChatGPT nur eingeschränkt von Nutzen. Denn ChatGPT ist zwar in der Lage, die Verarbeitungstätigkeiten zu beschreiben. Eine Risikobeurteilung, ob für eine konkrete Verarbeitungstätigkeit eine ausführliche Datenschutz-Folgenabschätzung erforderlich ist oder welche Speicher- und Löschfristen dafür gelten, leistet ChatGPT hingegen nicht.

Beim Erstellen eines VVT gilt im Übrigen wie schon bei der DSE: je präziser der Prompt, desto präziser der Output des Programms. Ein Basic-Prompt wie „Can you describe a data processing activity for email newsletter?” wird kein belastbares Ergebnis liefern – stattdessen sollten Nutzer:innen bestimmte Gesichtspunkte des Newsletters im Prompt herausstellen. Wenn dieser Prompt beispielsweise enthält, welches Tool für den E-Mail-Newsletter eingesetzt wird oder welche Personengruppe von der Verarbeitung betroffen ist, lässt sich ein besseres Ergebnis erzielen.
Unser Fazit: ChatGPT kommt bei der Erstellung von VVTs (aktuell) definitiv an seine Grenzen. Um ein rechtlich angemessenes, nützliches Ergebnis zu erzielen, müssen die im Prompt enthaltenen Informationen derart umfangreich und präzise sein, dass das Formulieren des Prompts länger dauern kann als das eigenständige Aufsetzen eines VVT. Und selbst wenn der Prompt gelungen ist, besteht immer noch die Gefahr, dass ChatGPT ein fehlerhaftes Ergebnis liefert. Deshalb fällt bei jedem Output eine Kontrolle an, die mögliche Anpassungen und weiteren zeitlichen Aufwand nach sich zieht.

Worauf sollten Datenschützer:innen bei der Anwendung von ChatGPT achten?

ChatGPT gibt uns zumindest auf diese Frage eine passende Antwort:
Außerdem überprüfen die Entwickler:innen von ChatGPT die Konversationen, um sichere und verantwortungsvolle Inhalte zu gewährleisten und die Entwicklung des Programms voranzubringen.

Es ist darüber hinaus nicht möglich, bestimmte Prompts zu löschen. Daher ist größte Sorgfalt bei der Eingabe von Informationen geboten. Weitere Auskünfte zur Speicherung und Verarbeitung der eingegebenen Daten stellt OpenAI in seiner Privacy Policy und seinen Terms of Use bereit.

Wie wir bereits gesehen haben, sollten Datenschützer:innen sich zudem nicht blind auf die Ergebnisse von ChatGPT verlassen. Das sehen die Entwickler:innen von OpenAI selbst übrigens genauso und raten in ihren FAQs: „We’d recommend checking whether responses from the model are accurate or not.“

Unser Fazit

In den von uns untersuchten Anwendungsszenarien liefert ChatGPT einen begrenzten Mehrwert. Sowohl bei der Erstellung einer Datenschutzerklärung als auch bei der Formulierung einer Verarbeitungstätigkeit ist die erhaltene Qualität mit einer ungeprüften Vorlage aus dem Internet vergleichbar. Schließlich benötigt es weiterhin im Datenschutzrecht geschulte Menschen, um den Anforderungen der DS-GVO nachzukommen.

Da sich die Künstliche Intelligenz laufend verbessert, werden wir jedoch unser Fazit regelmäßig hinterfragen müssen.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Björn Möller
Co-Founder & CEO von caralegal
Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er hat an der Stanford University selbst an dem Einsatz Künstlicher Intelligenz gearbeitet. Er ist Geschäftsführer der caralegal GmbH, die Unternehmen neue Wege in der KI- und datenrechtlichen Compliance ermöglicht.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
Datenschutz-Folgenabschätzung mit Excel: Anleitung in vier Schritten und Alternative
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum