Gestern haben Kanadas Datenschutzbehörden es offiziell gemacht: Die ursprünglichen ChatGPT-Trainingspraktiken von OpenAI haben gegen Bundes- und Provinzdatenschutzgesetze verstoßen. Die gemeinsame Untersuchung — an der der OPC, das CAI von Quebec und die Datenschutzbeauftragten von BC und Alberta beteiligt waren — ergab eine übermäßige Erhebung personenbezogener Informationen, einen Mangel an gültiger Zustimmung, unzureichende Transparenz und das Fehlen eines Rechenschaftsrahmens vor der Markteinführung.
OpenAI hat diese früheren Modelle inzwischen zurückgezogen und sich zu neuen Schutzmaßnahmen verpflichtet. Die Behörden bezeichneten die Beschwerde auf Bundesebene als unter Vorbehalt gelöst.
Die meiste Berichterstattung wird sich darauf konzentrieren, was OpenAI falsch gemacht hat. Wir möchten darüber sprechen, was es für Ihr Unternehmen bedeutet.
Das Ergebnis, das Ihren CISO nachts wach halten sollte
Die Behörden haben OpenAI nicht nur wegen des Scrapings öffentlicher Daten kritisiert. Sie wiesen darauf hin, dass OpenAI personenbezogene Informationen sammelte — einschließlich sensibler Details wie Gesundheitszustand und politische Ansichten — ohne angemessene Schutzmaßnahmen, und das Produkt veröffentlichte, ohne bekannte Datenschutzrisiken vollständig anzugehen.
Fragen Sie sich nun selbst: Was macht Ihre Belegschaft gerade mit den Tools, die OpenAI entwickelt hat?
79 % der kanadischen Büroangestellten nutzen KI am Arbeitsplatz. Nur 25 % verwenden vom Unternehmen genehmigte Tools. Der Rest nutzt das, was hilft, eine Deadline einzuhalten — ChatGPT, Gemini, Grok, Perplexity — völlig außerhalb Ihrer Sichtbarkeit. Und laut Untersuchungen von Kiteworks geben 93 % der Mitarbeiter Unternehmensdaten in KI-Tools ein. Dazu gehören Kundendatensätze, klinische Notizen, Finanzdaten und Quellcode.
Die OPC-Untersuchung konzentrierte sich darauf, wie OpenAI Daten zum Trainieren seiner Modelle verarbeitete. Aber das Expositionsrisiko für Ihr Unternehmen betrifft nicht nur die Trainings-Pipeline von OpenAI. Es geht darum, was Ihre Mitarbeiter genau jetzt, heute, über KI-Prompts übermitteln — und ob diese Daten reguliert, sensibel oder schlichtweg nicht OpenAIs Angelegenheit sind.
Das Zustimmungsproblem endet nicht bei OpenAI
Das kanadische Urteil hebt eine kritische Lücke hervor: Bei der Zustimmung geht es nicht nur um die Nutzungsbedingungen, die Sie unterzeichnen; es geht um den Datenfluss, den Sie kontrollieren. Wenn Ihre Mitarbeiter sensible Informationen ohne explizite organisatorische Aufsicht in KI-Systeme von Drittanbietern einspeisen, befinden Sie sich bereits in einem Zustand der Nichteinhaltung.
Die Lösung besteht nicht darin, KI zu verbieten, sondern die Interaktion zu bereinigen. Durch das Entfernen sensibler Identifikatoren und personenbezogener Daten am Point of Entry können Unternehmen die Leistung von LLMs nutzen und gleichzeitig sicherstellen, dass ihre Trainingsdaten — und ihre aktiven Prompts — niemals gegen das Gesetz verstoßen.