Warum ChatGPT dir keine Urlaubsplanung machen sollte | Steffen Lüning

Описание: Christof hat einen Selbstversuch gestartet: Er hat die Namen aller Mitarbeitenden in ChatGPT eingegeben, um daraus eine Urlaubsplanung zu erstellen.
Spoiler: Keine besonders gute Idee.
Doch genau daraus ergibt sich die spannende Frage: Wie lassen sich ChatGPT und Datenschutz im Unternehmen sinnvoll zusammenbringen?
Darüber spricht Christof Layher, Host des ChaosHacker-Talks, mit Steffen Lüning. Steffen bringt Datenschutz und Comedy zusammen, denn für ihn funktioniert das Thema nur dann, wenn es nicht trocken, sondern verständlich und mit einer Portion Humor vermittelt wird.
Christof erinnert sich dabei an seine erste Datenschutz-Schulung im Jahr 2007, eine Zeit, in der sich kaum jemand für das Thema interessiert hat.
Aber wie steigt man als Unternehmen überhaupt in den Datenschutz ein?
Der Datenschutzbeauftragte ist für viele zunächst ein rotes Tuch, besonders, wenn er von extern kommt. Der Start ist also oft holprig.
Wenn bislang noch gar nichts vorhanden ist, beginnt Steffen pragmatisch: mit einem Muster für technisch organisatorische Maßnahmen, dem Verzeichnis von Verarbeitungstätigkeiten und ein paar Checklisten für externe Dienstleister.
Der nächste Schritt ist dann, die Mitarbeitenden dafür zu sensibilisieren, zumindest keinen groben Unsinn zu bauen.
Das Verzeichnis von Verarbeitungstätigkeiten beschreibt im Kern Prozesse und ergänzt diese um die Information, welche personenbezogenen Daten verarbeitet werden.
Die Herausforderung dabei: Man muss selbst entscheiden, wie detailliert man das Ganze aufzieht.
Idealerweise schaut eine fachkundige Person nochmal drüber.
Beide sind sich einig: Lieber anfangen und Fehler machen, als Datenschutz komplett zu ignorieren.
Kommt später eine Behörde und prüft den Datenschutz im Unternehmen, lässt sich auf dieser Grundlage viel besser argumentieren.
Steffen berichtet aus seiner Praxis, dass Behörden oft erstaunlich entspannt reagieren und eher Hinweise zur Verbesserung geben, statt direkt ein großes Fass aufzumachen.
Bevor es überhaupt zu einer Beschwerde kommt, steht häufig zunächst eine Anfrage nach Auskunft im Raum. Denn jede natürliche Person hat ein Recht auf Auskunft.
Steffen erklärt den Ablauf und weist auf zwei typische Motive hin: Manche wollen schlicht Arbeit verursachen, andere spekulieren darauf, dass nicht fristgerecht geantwortet wird, um das Ganze dann bei der Aufsichtsbehörde zu melden.
Ein zentraler Grundsatz bleibt dabei immer gleich: Personenbezogene Daten dürfen nur gespeichert werden, wenn es einen konkreten Zweck dafür gibt.
Christof erzählt außerdem von einer Konferenz zum Thema Datenintegrität, bei der es um die Dokumentation von Tests ging.
Die Frage: Darf man Tests auch per Video dokumentieren?
Wie so oft lautet die Antwort: Es kommt darauf an. Genau darüber diskutieren die beiden.
Ein weiterer wichtiger Hinweis: Sobald die Aufbewahrungsfristen der Pharma-Gesetzgebung abgelaufen sind, greift der Datenschutz und Daten müssen gelöscht werden.
Aktuell nutzen viele von uns Sprachmodelle wie ChatGPT.
Sobald jedoch personenbezogene Daten dort eingegeben werden, verlassen sie das eigene Netzwerk. Handelt es sich nicht um ein EU-basiertes Tool mit DSGVO-Grundlage, wird es kritisch.
Die Nutzung ist also möglich, aber mit klaren Grenzen:
„Schreib mir eine Muster-Kündigung“ → völlig okay.
„Schreib mir eine Kündigung für Susanne Musterfrau aus Castrop-Rauxel“ → definitiv nicht okay.
Es gibt allerdings bereits Unternehmen, die DSGVO-konforme GPT-Lösungen speziell für den internen Einsatz entwickeln.

Disclaimer: Das Experiment hat so nie statt gefunden.



Kapitel:

00:00:00 Vorstellung Steffen Lüning
00:05:52 Entwickler und Datenschutz
00:09:34 Start mit Datenschutz
00:15:00 Verfahrensverzeichnis
00:24:57 Umgang mit Behörden
00:29:38 Auskunft und Beschwerden
00:36:13 Dokumentation von Tests
00:43:46 Datenlöschung
00:46:48 DSGVO und ChatGPT
00:54:23 DSGVO-konforme GPTs
00:56:39 Zwei Fragen an Steffen