Der Konflikt beim Datentransfer
Kundenserviceteams, die ChatGPT zur Erstellung von Antworten verwenden, stehen vor einem strukturellen Konflikt in Bezug auf die GDPR-Compliance. Die Verarbeitung personenbezogener Daten von Kunden — Namen, Bestellnummern, Adressen, Beschwerdedetails — über ChatGPT bedeutet, dass diese Daten an die Server von OpenAI in den Vereinigten Staaten übertragen werden. Gemäß Artikel 46 der GDPR erfordert der Transfer personenbezogener Daten in ein Drittland angemessene Schutzmaßnahmen: entweder eine Angemessenheitsentscheidung, Standardvertragsklauseln oder verbindliche Unternehmensregeln.
OpenAI hat Standardvertragsklauseln für Unternehmenskunden über die ChatGPT Enterprise- und API-Angebote veröffentlicht. Viele Kundenserviceteams verwenden jedoch die Standard-ChatGPT-Oberfläche über Verbraucheraccounts — Accounts, die nicht die vertraglichen Datenschutzschutzmaßnahmen von Unternehmensvereinbarungen bieten. Eine EU-Prüfung 2024 ergab, dass 63 % der ChatGPT-Nutzerdaten über Accounts kamen, die nicht in die Datenschutz-Einstellungen optiert hatten, die für Unternehmensbenutzer verfügbar sind.
Die regulatorischen Maßnahmen der italienischen Datenschutzbehörde verdeutlichen den Durchsetzungsweg. Im Dezember 2024 verhängte die Garante eine Geldstrafe von 15 Millionen Euro gegen OpenAI wegen unrechtmäßiger Verarbeitung personenbezogener Daten italienischer Nutzer — insbesondere wegen der Verarbeitung von Daten ohne rechtliche Grundlage und ohne die Verpflichtungen der Rechte der betroffenen Personen zu erfüllen. Der Geldstrafe ging ein vorübergehendes Verbot von ChatGPT in Italien im Jahr 2023 und umfangreiche Verhandlungen über Datenhandhabungspraktiken voraus. 63 % der italienischen Unternehmen hatten zum Zeitpunkt der Geldstrafe keine GDPR-konformen KI-Nutzungsrichtlinien.
Die JIT-Anonymisierungslösung
Die Just-in-time (JIT) Anonymisierung löst den Konflikt beim Datentransfer, indem sichergestellt wird, dass personenbezogene Daten überhaupt nicht die Server von ChatGPT erreichen. Die Anonymisierung erfolgt im Moment der Eingabeaufforderung — zwischen dem Einfügen des Nutzers und der Netzwerkübertragung an OpenAI.
Die Abfangarchitektur der Chrome-Erweiterung: Wenn ein Kundenservicemitarbeiter eine Kundenbeschwerde mit "Maria Dupont, Bestellung FR-2024-8847, versendet an 12 rue de la Paix, Paris" in das ChatGPT-Eingabefeld einfügt, fängt die Erweiterung das Einfügeereignis ab. Bevor der Inhalt im Eingabefeld erscheint, erkennt die Erweiterung den Namen, die Bestellnummer und die Adresse. Der Mitarbeiter sieht eine Vorschau. Der Mitarbeiter klickt auf Weiter. ChatGPT erhält eine anonymisierte Version ohne personenbezogene Daten — eine vollständige Beschreibungen der Beschwerde mit Platzhaltern, die die Identifikatoren ersetzen.
ChatGPT erstellt einen Entwurf der Antwort unter Verwendung der anonymisierten Platzhalter. Die Auto-Entschlüsselungsfunktion der Erweiterung ersetzt die echten Werte in die Antwort der KI, sodass der Mitarbeiter eine Antwort sieht, die auf den echten Kundennamen verweist — aber ChatGPT hat diesen Namen nie verarbeitet.
Unter dieser Architektur stellt sich die Frage des Datentransfers gemäß Artikel 46 der GDPR nicht: Die an die Server von ChatGPT übertragenen Daten sind anonymisierte Daten, die nicht der Definition personenbezogener Daten gemäß GDPR entsprechen. Der Name, die Adresse und die identifizierenden Informationen des Kunden bleiben innerhalb der EU im lokalen Browser des Mitarbeiters. Die GDPR-Compliance ist strukturell und nicht vertraglich.
Quellen: