Datenschutz aufbauen und ChatGPT mit DSGVO nutzen | Steffen Lüning

Christofhat ein Experiment gemacht: Alle Namen der Mitarbeitenden
in ChatGPTgeladen, um sich daraus eine Urlaubsplanung zu machen!


Keinegute Idee, ehrlich gesagt.


Dochwie kann man ChatGPT und Datenschutz im Unternehmen vereinen?


Darüber spricht Christof Layher, Host des Podcasts
ChaosHacker-Talk mit Steffen Lüning. Er verbindet Datenschutz mit
Comedy. Denn für ihn ist es wichtig, Datenschutz nicht nur
trocken zu vermitteln, sondern anfassbar und mit Humor.


Die erste Datenschutz-Schulung hat Christof übrigens im Jahr 2007
gemacht – damals hat sich die Welt für das Thema noch kaum
interessiert.


Doch wie startet man im Unternehmen mit Datenschutz?


Der Datenschutzbeauftragte ist meist ein rotes Tuch bei vielen,
vor allem, wenn derjenige von extern kommt. Schwieriger Start
also.


Doch wenn man bisher noch gar nix hat, dann startet Steffen
erstmal mit einem Muster für technisch organisatorische Maßnahmen
und dem Verzeichnis von Verarbeitungstätigkeiten, außerdem gibt’s
ein paar Checklisten für die externen Dienstleister.


Der nächste Schritt ist dann, die Mitarbeitenden zu
sensibilisieren, dass sie keinen groben Unfug machen.


Das Verzeichnis von Verarbeitungstätigkeiten ist
eineProzessdokumentation mit der ergänzenden Info,
welchepersonenbezogenen Daten darin verarbeitet werden. Die
Herausforderung ist, dass man sich selbst überlegen muss, wie
kleinteilig man das aufbauen will.


Optimalerweise schaut nochmal jemand drüber, der sich damit
auskennt – und so hat man schonmal einen guten Start.


Die beiden sind sich einig: Lieber ein bisschen machen und dabei
Fehler, als das Thema zu ignorieren.


Selbst wenn dann eine Behörde kommt und sich den Datenschutz im
Unternehmen anschauen will, kann man dann viel besser
argumentieren. Steffen erzählt aus seinem Praxisumfeld, dass
Behörden sehr kulant sind und dann nur auf Veränderungen
hinweisen – ohne riesiges Theater.


Bevor eine Beschwerde kommt, gibt’s allerdings oft erstmal den
Wunsch nach einer Auskunft. Denn jede natürliche Person hat ein
Recht auf Auskunft.


Steffen erklärt, wie der Ablauf hierzu aussieht. Es gibt zwei
Probleme:Menschen machen das, weil sie einem Arbeit machen wollen
oder weil sie darauf abzielen, dass man eben nicht antwortet, um
das dann bei einer Behörde zu melden.


Wichtig ist: Wir dürfen nur personenbezogene Daten speichern,
wenn es tatsächlich einen Grund dafür gibt.


Christof war auf einer Konferenz zum Thema Datenintegrität. Dort
gab es einen Vortrag zum Thema Dokumentation von Tests. Dürfen
wir das nun auch mit Video machen?


Die beiden diskutieren diese Frage auf und wie immer ist klar: Es
kommt drauf an!


Ein weiterer Tipp: Wenn die Fristen der Pharma-Gesetzgebung rum
sind, dann greift der Datenschutz und wir müssen Daten wieder
löschen.


Was wir aktuell alle gern verwenden, sind Sprachmodelle wie
ChatGPT.


Sobald ich personenbezogene Daten bei ChatGPT eingebe, sind die
nicht mehr nur in meinem Netzwerk. Wenn es sich hier nicht um ein
EU-Tool handelt, das somit auch auf der DSGVO basiert, wird es
also kritisch.


Man kann diese Tools nutzen, darf aber wirklich keine
personenbezogenen Dateien reinladen. Beispiel: Schreib mir eine
Muster-Kündigung -> Okay!


Schreib mir eine Kündigung für Susanne Musterfrau
ausCastrop-Rauxel -> Nicht okay!


Es gibt aber auch Unternehmen, die DSGVO-konforme GPTs für die
Unternehmen bauen.





Disclaimer: Das Experiment hat so nie statt gefunden.


00:00:00 Vorstellung Steffen Lüning


00:05:52 Entwickler und Datenschutz


00:09:34 Start mit Datenschutz


00:15:00 Verfahrensverzeichnis


00:24:57 Umgang mit Behörden


00:29:38 Auskunft und Beschwerden


00:36:13 Dokumentation von Tests


00:43:46 Datenlöschung


00:46:48 DSGVO und ChatGPT


00:54:23 DSGVO-konforme GPTs


00:56:39 Zwei Fragen an Steffen