Kurze Antwort
Vorfall dokumentieren, Datenschutzbeauftragten informieren, Meldepflicht prüfen, Löschung bei OpenAI beantragen. Langfristig: KI-Richtlinie einführen und DSGVO-konforme Alternativen wie Azure OpenAI nutzen.
Häufige Fragen
Muss ich die Aufsichtsbehörde informieren wenn ein Mitarbeiter Kundendaten in ChatGPT eingegeben hat?
Das hängt vom Risiko ab. Wenn sensible oder besondere Kategorien personenbezogener Daten betroffen sind und ein hohes Risiko für Betroffene besteht, ja — innerhalb von 72 Stunden nach Bekanntwerden (Art. 33 DSGVO). Immer zuerst den Datenschutzbeauftragten einbeziehen.
Kann OpenAI die eingegebenen Kundendaten wirklich für Training nutzen?
Bei ChatGPT (Gratisversion und Plus) standardmäßig ja. OpenAI nutzt Eingaben für Modelltraining, sofern man nicht aktiv widerspricht. In den Einstellungen lässt sich der Trainingsverzicht aktivieren. ChatGPT Enterprise und die API (mit entsprechender Einstellung) trainieren nicht auf Nutzerdaten.
Was ist der Unterschied zwischen ChatGPT und Azure OpenAI in Bezug auf DSGVO?
Azure OpenAI ist ein Microsoft-Dienst mit EU-Datenhaltungsoption, Verarbeitung findet nicht für Trainingszwecke statt, und es gibt einen AVV mit Microsoft. Damit ist Azure OpenAI datenschutzrechtlich deutlich handhabbarer als ChatGPT direkt.
Was muss in eine KI-Nutzungsrichtlinie für Mitarbeiter?
Mindestens: welche KI-Tools erlaubt sind, welche Datenkategorien nicht eingegeben werden dürfen, wie mit Ergebnissen umzugehen ist, wer neue Tools genehmigt, und was bei Verstößen passiert. Die Richtlinie sollte schriftlich, von der Geschäftsführung freigegeben und den Mitarbeitern nachweisbar bekannt gemacht sein.
War dieser Artikel hilfreich?