Letzte Aktualisierung:
- Abschnitt zum Thema Übermittlung von Nutzerdaten durch den Anbieter ergänzt. Hinweise zum Fehlen von Datenschutzinformationen für EU Nutzer ergänzt. 08.02.2023
- Abschnitt zur Nutzung durch Lehrkräfte für ihre Arbeit am Ende angefügt. 28.01.2023
- Anmeldung mit Angabe einer Mobilfunknummer ergänzt und Bewertung angepasst. 25.01.2023
ChatGPT ist ist zu Zeit in aller Munde. Man möchte es aus diversen Gründen im Unterricht einsetzen, ist sich aber unsicher, was das Thema Datenschutz angeht. Es folgt hier kein Datenschutz Check wie sonst üblich, sondern ein Versuch, in etwa abzuschätzen, welche Risiken sich aus einer unterrichtlichen Nutzung ergeben könnten (Betonung auf “könnten”). Wie die folgenden Betrachtungen hoffentlich zeigen, ist es schwierig, hier eindeutige Aussagen zu machen und Empfehlungen abzugeben.
Vorabüberlegungen
Auf welche Art und Weise könnten Risiken bei der Nutzung von ChatGPT entstehen?
Wie bei jeder Online-Plattform oder online verbundenen App, die in der Schule zum unterrichtlichen Einsatz kommen soll oder bereits kommt, ist es unverzichtbar das Thema Datenschutz in den Blick zu nehmen. Werden Online-Plattformen oder online verbundene Apps durch Schülerinnen und Schüler im Unterricht genutzt, können dabei Daten anfallen, welche zu Risiken für das Recht auf informationelle Selbstbestimmung führen können. Das setzt voraus, dass bei der Nutzung Daten anfallen, welche Schülerinnen und Schüler potenziell identifizierbar machen. Die Zuordnung von verarbeiteten Daten zu einer identifizierbaren Person kann auf verschiedenen Wege erfolgen.
- Das sind einmal die mit einem individuellen Endgerät unmittelbar verknüpften Daten, die sich aus Gerätekennungen und der Hardwarekonfiguration sowie der auf dem Gerät installierten Software und deren Konfiguration wie auch den Versionen derselben ergeben können.
- Es sind darüber hinaus Spuren, welche in Form von Cookies auf einem Endgerät zurückbleiben, wenn Online-Plattformen und mit dem Internet verbundene Apps verwendet werden. Sind Personen an einer dieser Plattform oder Apps mit einem persönlichen Konto angemeldet, können die in den Cookies hinterlegten Identifier ihnen persönlich zugeordnet werden.
- Auch ohne das Setzen von Cookies können Daten von Nutzern erhoben werden. Das ist möglich, wenn im Hintergrund entsprechende Skripte laufen, welche mit Servern des Anbieters oder von integrierten Drittanbietern kommunizieren.
- Informationen, die geeignet sind, eine Person zu identifizieren, ergeben sich auch aus Standortdaten. Diese können aus GPS-Daten und dem Namen des genutzten WLAN hergeleitet werden.
- Die IP Nummer ist ein weiteres Merkmal, welches genutzt werden kann, um eine Person zu identifizieren.
- Weitere Möglichkeiten ergeben sich aus persönlichen Informationen, welche bei der Nutzung einer Online-Plattform oder online verbundenen App durch den Nutzer verwendet werden. Dies kann durch die direkte Eingabe von Informationen in Form von Text sowie Bild- und Ton-Dokumenten erfolgen.
- Bei der Eingabe von Text, ob in schriftlicher Form oder im Audioformat, entstehen Muster aus der typischen Verwendung von Vokabular und Syntax durch einen Nutzer. Es gehören dazu auch nutzerspezifische Fehler bzw. Abweichungen von der Standardgrammatik oder Schreibung einzelner Worte. Je mehr Text ein Individuum produziert, umso wahrscheinlicher wird es, dass man diese Person anhand der dort enthaltenen Mustern identifizieren kann.
- Identifiziert sich eine Person durch Anmeldung an einer Plattform oder online verbundenen App, können sämtliche Daten, welche innerhalb der Plattform im Zusammenhang mit der Nutzung entstehen, dieser Person zugeordnet und genutzt werden, um diese Person auch außerhalb der Plattform zu identifizieren. Wie weit dieses möglich ist, hängt von der jeweiligen Plattform oder online verbundenen App, den dort genutzten Daten und integrierten Diensten ab.
Der Anbieter
Hinter OpenAI und ChatGPT steht eine US amerikanische Firma, die von verschiedenen Kapitalgebern finanziert wird. Der wohl mächtigste Kapitalgeber dürfte Microsoft sein, die ihre Investitionen nun dazu nutzen werden, um die Plattform auch in ihre Office Produkte zu integrieren.
Nutzung der Plattform
Die Nutzung von ChatGPT setzt, sofern sie nicht über einen anderen Anbieter vermittelt erfolgt, die Erstellung eines Kontos voraus. Dazu ist die Angabe einer E-Mail-Adresse und eines Passwortes erforderlich. Alternativ ist ein Login mit einem Google oder Microsoft Konto möglich. Mittlerweile ist zusätzlich zur E-Mail Adresse auch die Angabe einer Mobiltelefon Nummer erforderlich. An diese wird ein Bestätigungs-Code per SMS geschickt. Es wird beim Login außerdem ein Captcha vorgeschaltet, welches verhindern soll, dass die Anmeldung durch einen Bot erfolgt. Nutzer können Eingaben in ChatGPT in einem Textfenster vornehmen und ausgegebene Antworten anschließend durch Daumen hoch oder Daumen runter und ein individuelles Feedback bewerten. Anders als im OpenAI Playground können hier anfragen des Nutzers in Form eines Chat Dialogs eingegeben werden. Die Plattform ist dadurch in der Lage vorherige Fragen und eigene Antworten in weitere Antworten einzubeziehen. Einzelne wie auch alle Chats gemeinsam lassen sich jederzeit löschen. Ob damit auch eine Löschung von den Servern einhergeht, ist nicht beurteilbar.
Datenschutzerklärung
In der Datenschutzerklärung wird über die Datenverarbeitung informiert, soweit sie die Website des Anbieters betrifft, verbundene Seiten und die Dienste von OpenAI. Unterschieden wird bei den Daten, welche der Anbieter sammelt, zwischen denen, welche Nutzer von sich aus offen legen, etwa bei der Erstellung eines Kontos, denen, welche bei der Kommunikation mit dem Anbieter anfallen, den Daten, welche über die Social Media Auftritte des Anbieters anfallen, und denen, welche automatisch bei der Nutzung der Dienste anfallen.
Von Bedeutung im Zusammenhang Schule und Unterricht sind hier die erstere und letztere Kategorie. Zur Nutzung von Diensten von OpenAI ist ein Konto erforderlich. Der Hauptteil der Daten fällt dann bei der Nutzung der Dienste, etwa ChatGPT, an. Dazu gehören die üblichen Logdaten wie die IP-Adresse, der Browsertyp, dessen Version und Einstellungen, Datum und Uhrzeit der Nutzung und Nutzungsdaten zur Interaktion mit dem Dienst. Zu den Nutzungsdaten, die erhoben werden können, gehören nach Angaben des Anbieters Inhaltsarten, mit den Nutzer interagieren, genutzte Funktionen wie auch Zeitzone, Herkunftsland und Daten dazu, wann und wie lange genutzt wird, User Agent und seine Version, Art von Endgerät und ähnlich. Der Anbieter wählt sich vor, auch Cookies und Analytics einzusetzen. Als Zweck wird angegeben, dieses zur Erbringung und Verbesserung der Dienste zu tun. Welche Cookies und welche Analyse-Tools oder -Dienstleister eingesetzt werden, darüber erfährt man nichts.
Es werden sechs generelle Zwecke der Datenverarbeitung genannt:
- Erbringung, Verbesserung und Analyse des Dienstes.
- Forschung, die intern genutzt wird, aber auch mit Dritten geteilt oder gar veröffentlicht werden kann.
- Kommunikation mit dem Nutzer.
- Entwicklung neuer Programme und Dienste.
- Sicherheit und Verhinderung von Missbrauch der Dienste.
- Einhaltung gesetzlicher Vorgaben.
Aggregierte Daten können genutzt werden um die Effektivität des Dienstes zu analysieren und Einblicke in typisches Verhalten und Charakteristiken von Nutzern zu erhalten. Diese Informationen können unter anderem durch die Dienste selbst und über Cookies gesammelt werden.
Der Anbieter behält sich vor, personenbezogenen Daten der Nutzer unter bestimmten Umständen ohne weitere Information der Betroffenen, sofern dies nicht gesetzlich verboten ist, mit Dritten zu teilen (Übermittlung/ Offenlegung von Nutzerdaten). Dies kann beispielsweise bei der Zusammenarbeit mit Dienstleistern (z.B. Hosting, IT, Marketing), bei Geschäftstransaktionen, aufgrund gesetzlicher Anforderungen (z.B. Verhinderung von Betrug, Anfragen von Ermittlungsbehörden, Sicherheit) oder bei der Zusammenarbeit mit Partnerunternehmen (dann im Sinne der Datenschutzerklärung) der Fall sein. Außerdem können bestimmte Aktionen, die Nutzer innerhalb der Dienstleistungen ausführen, für andere Nutzer sichtbar sein.
OpenAI richtet sich mit seinem Dienst ausdrücklich nicht an Kinder unter dem Alter von 13 Jahren. Man weist daraufhin, dass Kinder unter 13 Jahren diesen Dienst nur mit Einwilligung der Eltern nutzen dürfen.
Weitere Informationen, die auch mit Bezug auf Datenschutz von Bedeutung sind, finden sich in den FAQ zu OpenAI. Aus diesem geht hervor, dass die Inhalte der Interaktion von Nutzern mit der Plattform (conversations)
- von Mitarbeiter einsehen werden, um das System zu verbessern und sicherzustellen, dass die Inhalte mit den Richtlinien und Sicherheitsanforderungen der Plattform übereinstimmen,
- von den AI Trainern eingesehen werden können, um das System zu verbessern, d.h. zu trainieren. Die eingegebenen Inhalte und Reaktionen auf Antworten werden damit Gegenstand des Corpus, aus dem OpenAI trainiert wird.
Im Hilfebereich gibt es noch weitere Informationen dazu, wie Daten von Nutzern zur Verbesserung und zum Training von OpenAI genutzt werden können. Unter How your data is used to improve model performance wird erklärt, dass man beim Zugriff auf den Dienst über die API (das meint eingebunden in eine andere Website oder in eine App, die nicht vom Anbieter selbst kommen) Nutzerdaten verwendet, diese dazu aber vorab von jeglichen personenbezogenen Informationen befreit. Man nutzt außerdem kleine Stichproben von bis zu 200 API Anfragen im Zeitraum von 6 Monaten.
Aussagen dazu, wie lange personenbezogene Daten in der Plattform gespeichert werden, macht die Datenschutzerklärung nicht.
Die Datenschutzerklärung berücksichtigt den California Consumer Privacy Act (CCPA), eine Art DS-GVO des Bundesstaates Kalifornien, und räumt Nutzern von dort die vom CCPA eingeforderten Rechte ein. Anders als verschiedene andere US-Anbieter räumt OpenAI Nutzern aus Europa in der Datenschutzerklärung jedoch keine Betroffenenrechte gemäß der DS-GVO ein. Auch ein für EU Nutzer zuständiger Datenschutzbeauftragter ist nicht benannt.
AGB
Gemäß der Allgemeinen Geschäftsbedingungen müssen Nutzer mindestens 18 J ahre alt sein, um ein Konto zu erstellen. Vom Nutzer eingegebenen Inhalte können vom Anbieter benutzt werden, um den Dienst zu verbessern und der Nutzer willigt darin automatisch ein. Es ist nicht zulässig, dass ein Nutzer mehr als einen kostenlosen Zugang erstellt. Sollen mit der Plattform personenbezogene Daten verarbeitet werden, ist der Nutzer verpflichtet, dieses auf seiner Seite rechtlich abzusichern (Information, Einwilligung) und muss dem Anbieter gegenüber darlegen, dass er diese Daten in Übereinstimmung mit geltendem Recht verarbeitet. Für Nutzer, welche der DS-GVO unterliegen bietet der Anbieter auf Anfrage einen Vertrag zur Auftragsverarbeitung (Data Processing Addendum) an. Ob Nutzern und Verantwortlichen in der EU hiermit die durch die DS-GVO eingeforderten Rechte eingeräumt werden, konnte bisher nicht überprüfen. Es sollte dann auch eine Datenschutzerklärung geben, welche die DS-GVO berücksichtigt.
Beobachtetes Verhalten von ChatGPT
Der Anbieter nutzt Server in den USA und stellt seine Dienste über Cloud Flare bereit.
Beim direkten Aufruf von https://chat.openai.com/ werden neben zwei technischen Cookies im Local Storage (oai/apps/hasSeenOnboarding/chat und nextauth.message) die folgenden Cookies als 1st Party Cookies gesetzt
| Domain | Cookie | Gültigkeit bis | Herkunft | Funktion |
| .chat.openai.com | __cf_bm | 24 Stunden | Cloud Flare
Anbieter für Content Delivery Network (CDN), Schutz vor DDOS Angriffen |
Cookie, um Nutzer von Bots unterscheiden zu können |
| .chat.openai.com | _cfuvid | Sitzung | Cloud Flare | begrenzt Datenrate, wenn mehrere Nutzer von der gleichen IP aus auf OpenAI zugreifen |
| .chat.openai.com | cf_clearance | 6 Monate | Cloud Flare | speichert den Nachweis der bestandenen Challenge (hier Recaptcha), so dass sie nicht wiederholt werden muss |
| auth0.openai.com | auth0 | 14 Tage | AuthO
Anbieter für Nutzerauthentifizierung, ID und Access Management |
verwaltet Benutzersitzungen |
| auth0.openai.com | auth0_compat | 14 Tage | AuthO | Fallback-Cookie für auth0 für den Fall, dass ein älterer Browser nicht unterstützt, dass SameSite auf None gesetzt ist |
| auth0.openai.com | did | 6 Monate | AuthO | die Kennung für ein Gerät/einen Benutzer-Agenten |
| auth0.openai.com | did_compat | 6 Monate | AuthO | Fallback-Cookie für did für den Fall, dass ein älterer Browser nicht unterstützt, dass SameSite auf None gesetzt ist |
| chat.openai.com | __Host-next-auth.csrf-token | Sitzung | NextAuth.js (Auth.js),
Anbieter für Nutzerauthentifizierung |
Zufalls-Token, um CSRF-Angriffe zu verhindern |
| chat.openai.com | __Secure-next-auth.callback-url | Sitzung | NextAuth.js | Ermöglicht mit dem vorherigen Authentifizierung und anschließende Autorisierung bei OpenAI |
| chat.openai.com | __Secure-next-auth.session-token | 1 Monat | NextAuth.js | zur Authentifizierung der Nutzer und zur Gewährleistung der Sicherheit ihrer Anmeldedaten für die Zahlungsabwicklung |
| chat.openai.com | cf_chl_2 | 24 Stunden | Cloud Flare | prüft, ob der Cloudflare Edge-Server Cookies unterstützt |
| www.recaptcha.net | _GRECAPTCHA | 6 Monate | wird gesetzt, um die OpenAI Website vor Spam-Anfragen im Anmeldedialog zu schützt. |
Werden in der gleichen Sitzung andere OpenAI Seiten im Webauftritt des Anbieters aufgerufen, etwa Updates & FAQ, können weitere Cookies gesetzt werden, beispielsweise von Intercom (intercom-session-dgkjq2bp, intercom-id-dgkjq2bp und intercom-device-id-dgkjq2bp), die dann mit dem angemeldeten Nutzer verbunden werden. Auch das Setzen von Google-Analytics Cookies (_ga und _gid) als OpenAI 1st Party Cookies konnte nachgewiesen werden. Ihr Ursprung bei OpenAI ist jedoch unklar, rührt aber definitiv nicht von der Nutzung von ChatGPT her.
Eingesetzte Dienstleister
Aus dem beobachteten Verhalten von ChatGPT lassen sich mehrere genutzte Drittanbieter ermitteln:
- Cloud Flare
- Auth0
- NextAuth.js (Auth.js)
Es ist jedoch sicher davon auszugehen, dass weitere Anbieter genutzt werden, vor allem für den Betrieb der Server. Aus der Website von OpenAI lässt sich entnehmen, dass auch Amazon Web Services (AWS) in drei verschiedenen AWS Regionen zum Einsatz kommt. Außerdem nutzt man laut einem anderen Beitrag auf der Website Microsoft Azure.
Befragt man ChatGPT selbst, erhält man folgende Auskunft:
Um diesen Dienst bereitzustellen, nutzt OpenAI eine Kombination aus Software- und Hardwareressourcen, die Folgendes umfassen:
- Cloud-Infrastruktur: OpenAI nutzt Cloud-Infrastrukturanbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP), um das ChatGPT-Modell zu hosten und zu betreiben. Dies ermöglicht OpenAI eine einfache Skalierung des Dienstes, um der Nachfrage gerecht zu werden und eine hohe Verfügbarkeit zu gewährleisten.
- Datenspeicherung: OpenAI nutzt Datenspeicheranbieter wie Amazon S3, Azure Blob Storage und Google Cloud Storage, um die Daten zu speichern, die zum Trainieren des ChatGPT-Modells verwendet werden, sowie die Daten, die durch die API-Nutzung erzeugt werden.
- Vernetzungen: OpenAI nutzt Netzwerkanbieter wie Amazon VPC, Azure Virtual Network und Google Cloud VPC, um die verschiedenen Komponenten des Dienstes zu verbinden und eine sichere und zuverlässige Kommunikation zwischen dem Client und der API zu gewährleisten.
Man sollte bei dieser Antwort zwei Dinge beachten: ChatGPT ist trainiert mit Daten bis 2021 und die Plattform kann auch Falschinformationen ausgeben.
In weiterer Dokumentation findet man Hinweise, dass auch Google Cloud Server für bestimmte Funktionen (OpenAI gym) eingesetzt werden. Ob alle drei der großen Anbieter genutzt werden, um ChatGPT bereitzustellen, ist nicht eindeutig zu ermitteln. Es deutet jedoch manches darauf hin, dass zum Training der Plattform andere Server genutzt werden als zum Betrieb von ChatGPT.
Fazit
Man kann OpenAI sicherlich keine mangelnde Transparenz vorwerfen. Der Anbieter dokumentiert seine Arbeit und eingesetzte Technologien sehr umfangreich. In der Datenschutzerklärung bleibt er allerdings relativ vage und beschränkt sich auf allgemeine Aussagen. Ob der erwähnte Vertrag zur Auftragsverarbeitung, das DPA, welches man per E-Mail anfordern kann, hier mehr Transparenz schafft bezüglich eingesetzter Drittanbieter, wäre zu ermitteln. EU Nutzer werden nicht in der Datenschutzerklärung berücksichtigt. Ob das DPA diesen Mangel ausgleichen kann, ist zu bezweifeln. Eine Verarbeitung von personenbezogenen Daten von Nutzern dürfte sich damit zumindest im Kontext Schule außerhalb des rechtlichen Rahmen des DS-GVO bewegen.
OpenAI ist ein US-amerikanischer Anbieter und die Server-Infrastruktur dürfte sich komplett in den USA befinden. Damit liegen sämtliche erhobenen und verarbeiteten Daten der Nutzer im unmittelbaren Zugriff von US-amerikanischen Ermittlungsbehörden. Die Nutzung von ChatGPT setzt die Erstellung eines Kontos voraus. Dafür braucht es eine E-Mail-Adresse und ein Passwort, sofern nicht bereits vorhandene Google oder Microsoft Konten für die Registrierung verwendet werden sollen. Außerdem ist die Angabe einer Mobilnummer notwendig. Vom Nutzer eingegebene Inhalte in ChatGPT bleiben auf den Servern gespeichert und können nach Angaben des Anbieters in Teilen ohne Bezug zum Nutzer zum Training von OpenAI genutzt werden. Nutzer haben die Möglichkeit, beim Anbieter eine Löschung ihrer Eingaben anzufordern. In der Datenschutzerklärung wird angegeben, dass die Nutzung von ChatGPT sich nicht an Kinder unter 13 Jahren richtet. Darüber hinaus setzt die Erstellung eines Kontos zur Nutzung der Dienste von OpenAI laut AGB ein Mindestalter von 18 Jahren voraus. Es ist laut den AGB auch nicht zulässig, mehr als ein kostenloses Konto anzulegen.
Spätestens seit der Abfrage einer Mobilnummer liegt die Identifizierung der registrierten Nutzer immer im Bereich des Möglichen. Nutzer bleiben für den Anbieter nur anonym, solange dieser ihre Mobilnummer nicht zur Identifizierung nutzt. Doch auch ohne Identifizierung über die Mobilnummer oder eine “echte” E-Mail Adresse können Nutzer über verschiedene durch den Anbieter und die eingesetzten Dienstleister eingesetzte Technologien potenziell einer identifizierbaren Person zugeordnet werden. Damit lässt sich dann auch die Nutzung sämtlicher in der Plattform verwendeten Inhalte dieser Person zuordnen, sofern eine Identifizierung über eine dieser Möglichkeiten erfolgt.
Das heißt, nutzen Schülerinnen und Schüler ChatGPT mit einem eigenen Konto, sind sie für den Anbieter, die eingesetzten Dienstleister und auch für Dritte wie US Ermittlungsbehörden, immer potentiell identifizierbar.
Welche Risiken sich tatsächlich für individuelle Nutzer aus der Verwendung von ChatGPT ergeben, ist sehr schwierig abzuschätzen und dürfte nicht unwesentlich von den Inhalten der Nutzerinteraktion abhängen. Es ist von daher auch nicht möglich, Aussagen zu möglichen Risiken im Vergleich zu einer Plattform wie Padlet, die auf zahlreiche Drittanbieter, auch für Analysezwecke, setzt, zu treffen. Dafür sind die Plattformen einfach zu unterschiedlich. Eindeutig ist jedoch, dass die Risiken, welche sich für Nutzer ergeben, sehr viel geringer sind als etwa bei einer Nutzung der Google Suchmaschine auf einem persönlichen Endgerät.
Die geringsten Risiken sollten bestehen, wenn Schülerinnen und Schüler ChatGPT über einen Zugang nutzen, welchen eine Lehrkraft erstellt hat. Erfolgt diese Nutzung dann auf einem Gerät der Lehrkraft oder über unpersonalisierte schuleigene Endgeräte am Standort Schule und ohne Anmeldung der Schülerinnen und Schüler an anderen nicht schulischen Plattformen oder online verbundenen Apps in der gleichen Sitzung und ohne Verwendung von persönlichen Inhalten, sollten Schülerinnen und Schüler in keiner Hinsicht identifizierbar sein.
Wenn Lehrkräfte ChatGPT im Unterricht einsetzen wollen, sollten sie sich bewusst sein, dass eine DS-GVO konforme Nutzung mit Schülerinnen und Schülern aktuell nicht bzw. nur eingeschränkt möglich ist. Ältere Schülerinnen und Schüler ab Vollendung des 18. Lebensjahres haben immer die Möglichkeit, sich ein eigenes Konto einzurichten. Die Nutzung desselben im Unterricht kann jedoch nur optional sein. Das heißt, eine Nichtnutzung darf nicht zu Nachteilen führen. Da laut den AGB des Anbieters die Erstellung eines Kontos unter 18 Jahren nicht zulässig ist, sollten Lehrkräfte eine Registrierung von Schülerinnen und Schülern unter 18 Jahren in ihrem Unterricht auch nicht zulassen.
Eine mit der DS-GVO und den Schulgesetzen der Bundesländer konforme Nutzung von ChatGPT würde den Abschluss eines Vertrags zur Auftragsverarbeitung zwischen Schule und Anbieter voraussetzen. Allerdings würde auch der Abschluss eines solchen Vertrags zur Auftragsverarbeitung zumindest aktuell für eine Schule nichts an den mit der Nutzung von US Anbietern verbundenen Problemen ändern. OpenAI ist ein US-amerikanischen Anbieter, der alle Daten in den USA verarbeitet und speichert, und zumindest solange ein neues Abkommen (Privacy Shield II) zwischen den USA und der EU zur Übermittlung von personenbezogenen Daten nicht in Kraft getreten ist, bleibt die Nutzung eines solchen Anbieters zur Verarbeitung von personenbezogenen Daten ohne zusätzliche Maßnahmen seit Schrems II Urteil des EuGH unzulässig.
Bei einer verantwortungsvollen Nutzung von ChatGPT ohne persönliche Inhalte dürften daraus für Nutzer nur wenige Risiken entstehen, selbst wenn sie über ihre E-Mail Adresse identifizierbar wären. Aus den nachweisbaren eingesetzten Diensten dürfte die Nutzung von Google ReCaptcha am kritischsten gesehen werden, da Google hier so die Nutzung von ChatGPT einer identifizierbaren Person zuordnen könnte. Die anderen eingesetzten Dienste haben keine direkte Analyse Funktionalität, soweit ersichtlich.
Trotzdem werden Datenschützer eine unterrichtliche Nutzung der Plattform mit persönlichen Konten für Schülerinnen und Schüler an Schulen kritisch sehen, vor allem weil der rechtliche Rahmen für die Nutzung eines US-Anbieters, der seine Daten in den USA verarbeitet, nicht gegeben ist (zumindest im Moment). Schulen, die im Unterricht mit Schülerinnen und Schülern ChatGPT mit individuellen Konten nutzen, bewegen sich von daher rein rechtlich gesehen nicht mehr in einer Grauzone, sondern dürften die Grenze des Zulässigen bereits überschritten haben.
Thema Nutzung durch Lehrkräfte
Viele Lehrkräfte haben bereits erkannt, dass auch sie ihre Hausaufgaben mit ChatGPT erledigen können, etwa wenn es um die Erstellung von von Aufgaben für den Unterricht geht. Aus Sicht von Datenschutz ist das Sache der Lehrkräfte, wenn sie dieses mit ihrem persönlichen Konto tun. Die Möglichkeiten von ChatGPT enden damit jedoch nicht. Die Plattform kann aus Stichworten und entsprechenden Anweisungen im Handumdrehen auch Feedback zu von Schülerinnen und Schülern eingereichten Aufgaben erstellen, Protokolle in Form bringen, Gutachten ausformulieren und ähnlich. Lehrkräfte könnten auch von Schülerinnen und Schülern erstellte Texte in ChatGPT kommentieren lassen. Dabei können dann mit Blick auf Datenschutz jedoch schnell Grenzen des Zulässigen überschritten werden, wenn Lehrkräfte dabei personenbezogene Daten mit in die Plattform mit eingeben. Von Nutzern eingegebene Prompts werden in der Plattform nicht nur gespeichert, sondern eben auch zum Training genutzt. Und damit ist es durchaus möglich, dass Fragmente davon in den für andere Benutzer ausgegebenen Antworten wieder auftauchen. Hinzu kommt, dass es keine Rechtsgrundlage gibt, die es Lehrkräften erlaubt, personenbezogene Daten aus der Schule in einer privat genutzten Plattform zu verarbeiten. Auch mit Vertrag zur Auftragsverarbeitung (vorausgesetzt dieser erfüllt die Vorgaben der DS-GVO und es gibt den Privacy Shield 2) zwischen Schule und OpenAI und dienstlichem Konto dürfte eine Nutzung für die Verarbeitung von personenbezogenen Daten aus der Schule nicht oder nur eingeschränkt möglich sein. Das sollten Lehrkräfte bei einer Nutzung wie zuvor beschrieben beachten. Wenn man die Plattform nutzen möchte, um ein Gutachten umschreiben bzw. ausformulieren zu lassen, so ist dieses durchaus möglich. Namen und andere Daten, welche die Person identifizieren können, müssen dann durch Dummy Daten ersetzt werden, die hinterher im fertigen Text gegen die Echtdaten ausgetauscht werden.
Stand: 02/2023