Die USA liefern aktuell permanent Gründe für Kopfschmerzen bei der Nutzung von US-Clouddiensten…

Zuerst wurde fast das Data Privacy Framework zerstört, nun ist OpenAI gezwungen gegen den Datenschutz und die abgeschlossenen Data Processing Agreements zu verstoßen!

Kurzer Rückblick – der knappe Tod des DPF

Zuletzt habe ich am 11. April 2025 die Frage in den Raum gestellt, ob das Data Privacy Framework (DPF) noch eine Zukunft hat. Hintergrund war die Entlassung mehrerer Mitglieder eines Gremiums (PCLOB), welches für das DPF absolut wichtig ist. Ohne diese Kontrollinstanz wäre das DPF unvollständig, was den Angemessenheitsbeschluss der EU in Frage stellen würde.

So weit ist es zum Glück nicht gekommen, denn ein Gericht hat nun entschieden, dass die Entlassung der Mitglieder des PCLOB unrechtmäßig war und damit das Gremium wiederhergestellt.

Und jetzt ist es OpenAIs ChatGPT

Dafür sorgt nun ein anderes Gericht in den USA für Unruhe, speziell beim Einsatz von ChatGPT!

Am 13. Mai 2025 wurde OpenAI per gerichtlicher Verfügung in den USA untersagt, Nutzerkonversationen aus ChatGPT und der API-Nutzung zu löschen. Dies bedeutet, dass sämtliche Chatverläufe vorerst aufbewahrt werden müssen, unabhängig von den bisherigen Löschoptionen.

“Accordingly, OpenAI is NOW DIRECTED to preserve and segregate all output log data that would otherwise be deleted on a going forward basis until further order of the Court (in essence, the output log data that OpenAI has been destroying), whether such data might be deleted at a user’s request or because of “numerous privacy laws and regulations” that might require OpenAI to do so. SO ORDERED.“

OpenAI hat gegen diese Anordnung zwar einen Antrag zur Aufhebung gestellt, dieser Antrag wurde allerdings abgelehnt. Eine weitere Klärung wurde für den 27. Mai 2025 angesetzt. In diesem Verfahren geht es um den ursprünglichen Vorwurf der New York Times, wonach die Löschung entsprechender Daten durch OpenAIs ChatGPT zu einer Beweisvernichtung geführt habe.

Kurz: OpenAI ist aktuell verpflichtet, alle bisherigen und zukünftigen Konversationen zu speichern!

Was bedeutet dies für den Einsatz von ChatGPT?

Streng genommen führt die aktuelle Situation dazu, dass ChatGPT nicht genutzt werden, denn als Verantwortlicher (Auftraggeber) fehlt es aktuell an der Kontrolle, was mit den Daten passiert. Eine Löschung der Daten kann aktuell nicht gewährleistet werden.

Obwohl ChatGPT für alle Tarife ab „Team“ eine Data Processing Addendum bereitstellt, welches auch verbindlich abgeschlossen werden sollte, kann OpenAI die darin festgelegten Verpflichtungen aktuell nicht gewährleisten.

Selbst wenn im Unternehmen eine Richtlinie zur Nutzung von KI-Diensten besteht und darin festgelegt wird, dass keine personenbezogenen Daten in die KI eingegeben werden dürfen: Nutzungs- und Protokolldaten fallen trotzdem an und können einen Personenbezug zu Ihren Mitarbeitern aufweisen.

Wird ChatGPT wiederum in eigene Produkte integriert und dadurch eigenen Kunden zur Verfügung gestellt, so hat die aktuelle Situation auch Auswirkungen auf die eigenen Auftragsverarbeitungsverträge, denn auch hier steht die gerichtliche Verfügung der vertraglichen Pflicht zur Löschung im Wege.

Fazit

Die USA liefern aktuell ein sehr gutes Beispiel dafür, wie sehr sich Datenverarbeitungen extern beeinflussen lassen und damit die Rechtssicherheit gefährden. Ein Datentransfer außerhalb des europäischen Wirtschaftsraumes bedarf immer einer Risikoanalyse – und diese Analyse ist um ein weiteres Risiko gewachsen.

Viele aktuelle Entwicklungen sollten uns deutlich machen, warum die Schaffung einer souveränen EU-Cloud wichtig ist. Eine Abkehr von den vielen US-Cloudanbietern wird nicht (kurzfristig) möglich sein, jedoch sollte die Nutzung entsprechender Dienste überdacht werden – möglicherweise gibt es in einigen Fällen bereits europäische Alternativen, die einen ähnlichen Funktionsumfang liefern?!

Der Beitrag Aktuelle Risiken nicht europäischer Clouddienste! erschien zuerst auf CompliPro GmbH.