ChatGPT und Datenschutz: Warum Versicherer und Vermittler den Chatbot nicht nutzen sollten

Konkrete Beispiele

ChatGPT ist zur Nutzung in der Versicherungsbranche ungeeignet, sagt Datenschutz-Experte Andreas Sutter und nennt drei Verstöße der Software.Alexandra_Koch / pixabay

Inhaltsverzeichnis

ChatGPT und Datenschutz: Warum Versicherer und Vermittler den Chatbot nicht nutzen sollten
Konkrete Beispiele

Vorlesen

Nun könnte man sich als selbstständiger Vermittler oder als Organisation im Versicherungsbereich vielleicht ja sagen: gehen mich die Datenschutzverstöße des Anbieters etwas an? Die klare Antwort ist: ja, auf jeden Fall.

Beispiel #1: Bei der Registrierung gibt der Nutzer seine Mailadresse und seine Mobilfunknummer nicht nur gezwungenermaßen an, diese müssen zudem noch validiert werden. Das geschieht nicht nur ohne ersichtlichen Grund, der Nutzer wird auch weder über den Zweck dieser Datensammlung noch über technische Sicherheit oder die Konsequenzen aufgeklärt. Unklar ist auch, wohin diese Daten dann weitergeleitet werden. Validierte Mail-Adressen zusammen mit bestätigten Mobilfunknummern stellen für Cyber- und andere Kriminelle ein „gefundenes Fressen“ dar. Man denke nur an die Multi-Faktoren-Authentisierung. Dazu, wie dem Risiko begegnet wird, diese Daten zu schützen, schweigt sich der Anbieter aus. Übermittelt ein Mitarbeiter der Organisation diese Daten im beruflichen Kontext an OpenAI, entstehen daher nicht nur Cyber-Security-Risiken für den Arbeitgeber, er haftet auch für die dabei entstehende Datenschutzverletzung der Mitarbeiterdaten. Die Daten zum Login, zur Nutzung und alle eingebenden Texte des Mitarbeiters werden getrackt. Mit welchem Ziel? Für die Folgen haftet der Arbeitgeber, wenn er keine Datenschutz-Compliance eingerichtet hat, die sicherstellt, dass nicht mit Anbietern zusammengearbeitet wird, die sich an die Regeln der DSGVO einhalten.

Beispiel #2: Personenbezogene Daten sind auch Daten, mit denen Personen indirekt identifiziert werden können. Daher gehören Versicherungsnummern, Fahrgestellnummern oder auch Aktenzeichen zu personenbezogenen Daten. Werden diese im Chatbot eingegeben, geschieht dies ohne Rechtsgrundlage. Eine wirksame Einwilligung der Betroffenen wird es nicht geben, noch dürfte diese wirksam sein, wenn Daten ohne Garantien in ein unsicheres Drittland an einen Anbieter übermittelt werden, dem die DSGVO herzlich egal ist.

Die Gefahr, dass Mitarbeiter den Bot auf diese Weise leichtfertig nutzen, bedeutet ein latentes Datenschutzrisiko für den Arbeitgeber. Dazu kommt, dass mit großer Wahrscheinlichkeit alle Eingaben vom Anbieter genutzt werden, den Bot in der nächsten Version weiter lernen zu lassen. Alle eingebenden personenbezogenen Daten tauchen also in Zukunft an unvorhersehbarer Stelle bei Dritten ungewollt wieder auf.

Beispiel #3: Wie man bereits weiß, sind die Texte des Bots zwar gut formuliert, entsprechen aber nicht immer den Fakten. Sie lassen sich als Fake durch Kriminelle gut für Angriffe missbrauchen. Ebenso stellen die offenen Urheberrechtsfragen bezüglich der Antworttexte ein nicht unerhebliches Compliance- und (wie beschrieben) auch ein Datenschutzrisiko dar.

Was ist die Konsequenz?

Der Bot ist wegen der Vielzahl der Datenschutz- und Compliance-Probleme nicht für Unternehmen oder Unternehmer nutzbar. Es gibt auch keinen wirksamen Work-Around. Da alle Unternehmen in der Versicherungswirtschaft ein sehr hohes Maß an Datenschutz, Informationssicherheit und Compliance gewährleisten müssen, darf es hier auch keine Ausnahmen oder Grauzonen geben. Im Gegenteil: gerade die zum Teil sehr leichtfertige Nutzung des Chatbots durch die Unternehmen löst eine persönliche Haftung der Geschäftsleitung aus. Was also zu unternehmen? Allen im Unternehmen muss die berufliche Nutzung von ChatGPT und die private Nutzung auf beruflichen Geräten dokumentiert untersagt werden. Und sofern möglich gehört die Webanwendung im Netzwerk auf die Blacklist.