Die USA liefern aktuell permanent Gründe für Kopfschmerzen bei der Nutzung von US-Clouddiensten…
Zuerst wurde fast das Data Privacy Framework zerstört, nun ist OpenAI gezwungen gegen den Datenschutz und die abgeschlossenen Data Processing Agreements zu verstoßen!
Kurzer Rückblick – der knappe Tod des DPF
Zuletzt habe ich am 11. April 2025 die Frage in den Raum gestellt, ob das Data Privacy Framework (DPF) noch eine Zukunft hat. Hintergrund war die Entlassung mehrerer Mitglieder eines Gremiums (PCLOB), welches für das DPF absolut wichtig ist. Ohne diese Kontrollinstanz wäre das DPF unvollständig, was den Angemessenheitsbeschluss der EU in Frage stellen würde.
So weit ist es zum Glück nicht gekommen, denn ein Gericht hat nun entschieden, dass die Entlassung der Mitglieder des PCLOB unrechtmäßig war und damit das Gremium wiederhergestellt.
Und jetzt ist es OpenAIs ChatGPT
Dafür sorgt nun ein anderes Gericht in den USA für Unruhe, speziell beim Einsatz von ChatGPT!
Am 13. Mai 2025 wurde OpenAI per gerichtlicher Verfügung in den USA untersagt, Nutzerkonversationen aus ChatGPT und der API-Nutzung zu löschen. Dies bedeutet, dass sämtliche Chatverläufe vorerst aufbewahrt werden müssen, unabhängig von den bisherigen Löschoptionen.
“Accordingly, OpenAI is NOW DIRECTED to preserve and segregate all output log data that would otherwise be deleted on a going forward basis until further order of the Court (in essence, the output log data that OpenAI has been destroying), whether such data might be deleted at a user’s request or because of “numerous privacy laws and regulations” that might require OpenAI to do so. SO ORDERED.“
OpenAI hat gegen diese Anordnung zwar einen Antrag zur Aufhebung gestellt, dieser Antrag wurde allerdings abgelehnt. Eine weitere Klärung wurde für den 27. Mai 2025 angesetzt. In diesem Verfahren geht es um den ursprünglichen Vorwurf der New York Times, wonach die Löschung entsprechender Daten durch OpenAIs ChatGPT zu einer Beweisvernichtung geführt habe.
Kurz: OpenAI ist aktuell verpflichtet, alle bisherigen und zukünftigen Konversationen zu speichern!
Was bedeutet dies für den Einsatz von ChatGPT?
Streng genommen führt die aktuelle Situation dazu, dass ChatGPT nicht genutzt werden, denn als Verantwortlicher (Auftraggeber) fehlt es aktuell an der Kontrolle, was mit den Daten passiert. Eine Löschung der Daten kann aktuell nicht gewährleistet werden.
Obwohl ChatGPT für alle Tarife ab „Team“ eine Data Processing Addendum bereitstellt, welches auch verbindlich abgeschlossen werden sollte, kann OpenAI die darin festgelegten Verpflichtungen aktuell nicht gewährleisten.
Selbst wenn im Unternehmen eine Richtlinie zur Nutzung von KI-Diensten besteht und darin festgelegt wird, dass keine personenbezogenen Daten in die KI eingegeben werden dürfen: Nutzungs- und Protokolldaten fallen trotzdem an und können einen Personenbezug zu Ihren Mitarbeitern aufweisen.
Wird ChatGPT wiederum in eigene Produkte integriert und dadurch eigenen Kunden zur Verfügung gestellt, so hat die aktuelle Situation auch Auswirkungen auf die eigenen Auftragsverarbeitungsverträge, denn auch hier steht die gerichtliche Verfügung der vertraglichen Pflicht zur Löschung im Wege.
Fazit
Die USA liefern aktuell ein sehr gutes Beispiel dafür, wie sehr sich Datenverarbeitungen extern beeinflussen lassen und damit die Rechtssicherheit gefährden. Ein Datentransfer außerhalb des europäischen Wirtschaftsraumes bedarf immer einer Risikoanalyse – und diese Analyse ist um ein weiteres Risiko gewachsen.
Viele aktuelle Entwicklungen sollten uns deutlich machen, warum die Schaffung einer souveränen EU-Cloud wichtig ist. Eine Abkehr von den vielen US-Cloudanbietern wird nicht (kurzfristig) möglich sein, jedoch sollte die Nutzung entsprechender Dienste überdacht werden – möglicherweise gibt es in einigen Fällen bereits europäische Alternativen, die einen ähnlichen Funktionsumfang liefern?!
Nachtrag vom 24.05.2025
Wer die Unberechenbarkeit der US-Dienstleister für unwahrscheinlich hält, oder Panikmache dahinter vermutet, dem kann ich nur widersprechen. Aber der Fall Microsoft und der internationale Gerichtshof (IStGH) hat gezeigt, wie schnell beispielsweise eine durch Donald Trump verhängte Sanktionierung zur Sperrung eines Microsoft-Accounts führen kann. Leider gibt es nicht viele Details zu dem Fall, denn u.a. will Microsoft sich nicht dazu äußern, aber zumindest scheint der Vorgang nicht auf einem Gerichtsurteil als Begründung zu beruhen, sondern es hat eine bloße Anordnung dazu gereicht…