Der Chatbot „ChatGPT“ basiert auf maschinellem Lernen, oder vereinfacht gesagt auf künstlicher Intelligenz (KI), und ist wegen seiner zum Teil verblüffenden Ergebnisse in aller Munde. Es zeigt sich aber, dass der Einsatz von ChatGPT für Organisationen und Selbstständige unter Compliance- und Datenschutzaspekten in keiner Weise legitim einsetzbar ist. Dies gilt in besonderem Maße für die Versicherungsbranche, die es mit einer Unmenge hochsensibler Daten und einer Vielzahl von regulatorischen Anforderungen zu tun hat.

Anzeige

Andreas Sutter

Andreas Sutter

...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.

Was steckt hinter ChatGPT?

ChatGPT (Generative Pre-trained Transformer) ist ein KI-Textdialogsystem der US-amerikanischen Firma OpenAI, die im Wesentlichen von Elon Musk und Microsoft finanziert wird. Das System wurde mithilfe einer unbekannten Menge von Texten aus unbekannten Quellen trainiert. Die Antworten des Systems sind teilweise überraschend intelligent, teilweise auch schlicht erfunden, wie beispielsweise Forscher der TU Darmstadt ermittelt haben.

Worin bestehen die Gefahren bei ChatGPT?

Vorab: es geht hier nicht um grundsätzliche Bedenken, die man dem Datenschutz gegenüber neuen Technologien gerne schnell unterstellt. KI findet auch in der Banken- und Versicherungswirtschaft sinnvolle und auch legitime Einsatzzwecke. Es geht hier also nur um diesen speziellen Chatbot.

Verstoß #1: Der Anbieter OpenAI hat seinen Sitz in den USA und verfügt über keinen Vertreter in der EU (Art. 27 DSGVO). Jede Verarbeitung personenbezogener Daten von EU-Bürgern erfolgt daher schon mal unrechtmäßig. Sofern ein EU-Bürger seine guten Rechte, wie z.B. eine Auskunft nach Art.15 DSGVO oder eine Löschung nach Art. 17 DSGVO, läuft dies ins Leere.

Verstoß #2: Weder auf der Registrierung-Seite noch auf der Webseite der eigentlichen Anwendung finden sich Datenschutzerklärungen oder Einwilligungsfenster. Die Datenschutzerklärung auf der Webseite von OpenAI ist, da es das kalifornische Recht so erlaubt, recht vage. Es bleibt vollkommen unklar, zu welchem Zweck das Unternehmen im Rahmen des Chatbots Daten verarbeitet.

Anzeige

Verstoß #3: Für das maschinelle Lernen hat das System Unmengen personenbezogener Daten verarbeitet, und dies vermutlich in der Mehrzahl der Fälle ohne Einwilligung der Betroffenen.
Deutlich wird das im Bereich Urheberrecht, bei dem es offenbar schon die ersten Klagen gegen den Anbieter gibt. Denn urheberrechtlich geschützte Texte werden vom Bot ohne Kennzeichnung und ohne Einwilligung verarbeitet und ausgeworfen. Urheberrechtsverstöße sind aber in der Regel auch Datenschutzverstöße, denn zu jedem urheberrechtlich geschützten Text gibt es eine natürliche Person als Urheber. Dieser ist mittels des Textes indirekt identifizierbar. Folglich handelt es sich bei einem urheberechtlich geschützten Text um personenbezogene Daten (Art. 4 Nr. 1 DSGVO).

Konkrete Beispiele

Nun könnte man sich als selbstständiger Vermittler oder als Organisation im Versicherungsbereich vielleicht ja sagen: gehen mich die Datenschutzverstöße des Anbieters etwas an? Die klare Antwort ist: ja, auf jeden Fall.

Anzeige

Beispiel #1: Bei der Registrierung gibt der Nutzer seine Mailadresse und seine Mobilfunknummer nicht nur gezwungenermaßen an, diese müssen zudem noch validiert werden. Das geschieht nicht nur ohne ersichtlichen Grund, der Nutzer wird auch weder über den Zweck dieser Datensammlung noch über technische Sicherheit oder die Konsequenzen aufgeklärt. Unklar ist auch, wohin diese Daten dann weitergeleitet werden. Validierte Mail-Adressen zusammen mit bestätigten Mobilfunknummern stellen für Cyber- und andere Kriminelle ein „gefundenes Fressen“ dar. Man denke nur an die Multi-Faktoren-Authentisierung. Dazu, wie dem Risiko begegnet wird, diese Daten zu schützen, schweigt sich der Anbieter aus. Übermittelt ein Mitarbeiter der Organisation diese Daten im beruflichen Kontext an OpenAI, entstehen daher nicht nur Cyber-Security-Risiken für den Arbeitgeber, er haftet auch für die dabei entstehende Datenschutzverletzung der Mitarbeiterdaten. Die Daten zum Login, zur Nutzung und alle eingebenden Texte des Mitarbeiters werden getrackt. Mit welchem Ziel? Für die Folgen haftet der Arbeitgeber, wenn er keine Datenschutz-Compliance eingerichtet hat, die sicherstellt, dass nicht mit Anbietern zusammengearbeitet wird, die sich an die Regeln der DSGVO einhalten.

Beispiel #2: Personenbezogene Daten sind auch Daten, mit denen Personen indirekt identifiziert werden können. Daher gehören Versicherungsnummern, Fahrgestellnummern oder auch Aktenzeichen zu personenbezogenen Daten. Werden diese im Chatbot eingegeben, geschieht dies ohne Rechtsgrundlage. Eine wirksame Einwilligung der Betroffenen wird es nicht geben, noch dürfte diese wirksam sein, wenn Daten ohne Garantien in ein unsicheres Drittland an einen Anbieter übermittelt werden, dem die DSGVO herzlich egal ist.

Die Gefahr, dass Mitarbeiter den Bot auf diese Weise leichtfertig nutzen, bedeutet ein latentes Datenschutzrisiko für den Arbeitgeber. Dazu kommt, dass mit großer Wahrscheinlichkeit alle Eingaben vom Anbieter genutzt werden, den Bot in der nächsten Version weiter lernen zu lassen. Alle eingebenden personenbezogenen Daten tauchen also in Zukunft an unvorhersehbarer Stelle bei Dritten ungewollt wieder auf.

Beispiel #3: Wie man bereits weiß, sind die Texte des Bots zwar gut formuliert, entsprechen aber nicht immer den Fakten. Sie lassen sich als Fake durch Kriminelle gut für Angriffe missbrauchen. Ebenso stellen die offenen Urheberrechtsfragen bezüglich der Antworttexte ein nicht unerhebliches Compliance- und (wie beschrieben) auch ein Datenschutzrisiko dar.

Was ist die Konsequenz?

Der Bot ist wegen der Vielzahl der Datenschutz- und Compliance-Probleme nicht für Unternehmen oder Unternehmer nutzbar. Es gibt auch keinen wirksamen Work-Around. Da alle Unternehmen in der Versicherungswirtschaft ein sehr hohes Maß an Datenschutz, Informationssicherheit und Compliance gewährleisten müssen, darf es hier auch keine Ausnahmen oder Grauzonen geben. Im Gegenteil: gerade die zum Teil sehr leichtfertige Nutzung des Chatbots durch die Unternehmen löst eine persönliche Haftung der Geschäftsleitung aus. Was also zu unternehmen? Allen im Unternehmen muss die berufliche Nutzung von ChatGPT und die private Nutzung auf beruflichen Geräten dokumentiert untersagt werden. Und sofern möglich gehört die Webanwendung im Netzwerk auf die Blacklist.


Seite 1/2/
  • ChatGPT und Datenschutz: Warum Versicherer und Vermittler den Chatbot nicht nutzen sollten
  • Konkrete Beispiele