Stichtag 13. Mai 2025: Seit diesem Tag darf OpenAI keine „Output Log Data“ mehr löschen – selbst wenn eine Nutzer*in explizit die Löschung ihrer Daten verlangt. Dies verfügte ein amerikanisches Gericht. Was ist nun für die Nutzung von ChatGPT und anderen KI-Tools von OpenAI zu beachten?
Hintergrund
Der gerichtlichen Entscheidung liegen mehrere Verfahren gegen OpenAI zugrunde: Die Kläger, u.a. die New York Times, werfen OpenAI vor, urheberrechtlich geschützte Inhalte ohne Genehmigung verwendet zu haben, um ihre KI-Modelle zu trainieren.
Im Januar 2025 äußerte die New York Times die Sorge, dass OpenAI Beweise vernichten würde, indem das Unternehmen „Output Log Data“ löscht. „Output Log Data“ sind Protokolldaten, die während der Interaktion mit einem KI-Modell entstehen, z. B. Prompts, KI-Antworten (Output) und die Metadaten zur jeweiligen Sitzung.
Gerichtliche Verfügung: Aufbewahrung aller „Output Log Data“
Am 13. Mai 2025 ordnete die zuständige Richterin Ona T. Wang in einer einstweiligen Verfügung an: OpenAI muss sämtliche Output Log Daten vorübergehend speichern. Außer Betracht bleibt dabei, ob ChatGPT kostenlos, im Rahmen einer entgeltlichen Lizenz oder über ein API genutzt wird oder ob Nutzer:innen einen Löschantrag gestellt haben. Mit anderen Worten: Alle Output Log Daten müssen gespeichert werden – unabhängig von Herkunft und Sensibilität der Daten oder vertraglich vereinbarten Löschfristen.
Die Aufbewahrungspflicht bleibt bestehen, bis das Gericht weitere Anordnungen erteilt. Wann dies der Fall sein wird, ist schwer einzuschätzen. Alle Bemühungen von OpenAI, die Richterin zur Rücknahme oder Einschränkung der Verfügung zu bewegen, schlugen bislang fehl.
Auswirkungen
Die Aufbewahrungsverfügung hat immense Folgen:
- Globale Wirkung: Obwohl die Verfügung von einem US-Gericht ausgesprochen wurde, wirkt sie global – denn OpenAI verarbeitet nun mal Daten aus der gesamten Welt.
- Datenschutz vs. Beweissicherung: Zum Zweck der Beweissicherung setzt die Verfügung europäische Datenschutzvorgaben faktisch aus – insbesondere das Recht auf Löschung gemäß Art. 17 DSGVO.
- Geschäftsgeheimnisse: Die Verfügung umfasst alle Output Log Daten. Sensible Unternehmensdaten, die eine Nutzer:in unter Annahme der Vertraulichkeit einer Enterprise-Lizenz eingegeben hat, müssen nun von OpenAI auf unbestimmte Zeit gespeichert werden.
- Unwirksame Auftragsverarbeitungsverträge (AVV): Wenn ein Unternehmen KI-Tools von OpenAI verwendet, handelt OpenAI regelmäßig als Auftragsverarbeiter. Das Unternehmen muss daher mit OpenAI einen AVV schließen. In diesem muss OpenAI zusichern, dass sie Daten nur auf Weisung des Unternehmens verarbeitet und löscht. Aufgrund der Verfügung kann OpenAI diesen Weisungen momentan nicht nachkommen.
Was müssen Unternehmen beachten?
Unternehmen, die KI-Tools wie ChatGPT in ihre Systeme integrieren, sollten jetzt besonders wachsam sein:
- Transparenz: Weisen Sie ihre Mitarbeitenden und Kund:innen darauf hin, dass ihre eingegebenen Daten über einen längeren Zeitraum gespeichert werden als vertraglich vereinbart.
- Alternativen: Prüfen Sie, ob für Ihren Nutzungszweck eine Alternative zu den Tools von OpenAI auf dem Markt existiert – zumindest für eine Übergangsphase.
- Rechtliche Entwicklung beobachten: Verfolgen Sie den weiteren Verlauf des Verfahrens. Entscheidungen in diesem Fall könnten Präzedenzwirkung für die gesamte KI-Branche haben.
- Künftige Risikobeurteilungen: Bei datenschutzrechtlichen Bewertungen künftig eingesetzter Systeme sollten Sie das Risiko staatlicher Löschverbote miteinbeziehen. Dies gilt auch für andere Länder als die USA.
Fazit
Zentrale europäische Datenschutzregeln faktisch außer Kraft setzen? Das kann bereits ein erstinstanzliches US-Gericht durch eine vorläufige Anordnung. Unternehmen sollten sich in Zukunft dieser Gefahr bewusst sein und sie in ihre Risikobeurteilungen miteinbeziehen.
Es bleibt abzuwarten, welche neuen technischen Möglichkeiten entwickelt werden, um solchen Verfügungen zielgerichtet nachkommen zu können – ohne alle vorhandenen Daten einfrieren zu müssen.
Die kommenden Monate werden zeigen, wie sich das Spannungsfeld Datenschutz und Beweissicherung entwickelt – und welche neuen Standards daraus entstehen.
Bildnachweis: KI generiert
AUTOR
Christoph Wagner ist als Rechtsreferendar bei Bette Westenberger Brink / RMPrivacy tätig. Er interessiert sich für das Datenschutz-, IT- und KI-Recht – worin er durch seine Tätigkeiten bei einer internationalen Großkanzlei und dem rheinland-pfälzischen Landesbeauftragten für den Datenschutz und die Informationsfreiheit bereits Erfahrungen sammeln konnte.