srcset=”https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?quality=50&strip=all 6000w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px”>Eine gerichtliche Anordnung in den USA birgt für europäische ChatGPT-Nutzer DSGVO-Gefahren. PatrickAssale / Shutterstock.com ChatGPT-Nutzer aufgepasst! Eine aktuelle gerichtliche Verfügung in den USA verpflichtet OpenAI dazu, Nutzerdaten und -inhalte weiterhin zu speichern – selbst dann, wenn diese eigentlich gelöscht werden sollten. Diese Anordnung wirft bedeutende Fragen hinsichtlich Datenschutz, Urheberrecht und der zukünftigen Entwicklung von Künstlicher Intelligenz (KI) auf. Auch der Europäische Gerichtshof (EuGH) sowie das Oberlandesgericht Hamburg setzen sich derzeit im Rahmen laufender Verfahren mit diesen rechtlichen Herausforderungen auseinander. Hintergrund ist eine Klage mehrerer großer Verlagshäuser, darunter die New York Times, gegen OpenAI. Sie werfen dem Unternehmen vor, es habe urheberrechtlich geschützte Inhalte zum Training seiner KI-Modelle genutzt. Die Kläger argumentieren, dass ChatGPT urheberrechtlich geschützte Inhalte ihrer Artikel in Antworten wiedergibt, sodass Nutzer diese Inhalte lesen können, ohne die Originalquellen zu besuchen. Um sicherzustellen, dass alle Chat-Protokolle – auch vom Nutzer gelöschte – (all Output Log Data) als potenzielle Beweismittel erhalten bleiben, hat das Bezirksgericht in New York Mitte Mai einen entsprechenden Beschluss erlassen. Dieser verpflichtet OpenAI, sämtliche ChatGPT-Konversationen vorerst aufzubewahren – auch solche, die eigentlich hätten gelöscht werden sollen. Wer ist betroffen? Obwohl die gerichtliche Anordnung zur Datenspeicherung nur in den USA gilt, betrifft sie Nutzer weltweit, da OpenAI global agiert. Betroffen sind Benutzer der meistverbreiten Versionen von ChatGPT, also Free, Plus, Pro und Team sowie API-Kunden ohne spezielle Datenschutzvereinbarungen. Auch die Inhalte von Nutzern, die einen Auftragsverarbeitungsvertrag (AVV) mit OpenAI Ireland Limited abgeschlossen haben, fallen unter diese Regelung – zumindest sofern sie keine „Zero Data Retention“ (ZDR) -Vereinbarung abgeschlossen haben. Ausgenommen sind lediglich Nutzer von ChatGPT Enterprise, Edu oder solche mit Vertrag zur Zero Data Retention (ZDR). Bei letzterem sichert OpenAI zu, Ein- und Ausgaben grundsätzlich nicht zu speichern. Diese Nutzer behalten weiterhin eine automatische Löschpraxis nach 30 Tagen. Die ZDR-Vereinbarung ist allerdings nur für bestimmte Kundengruppen verfügbar, insbesondere Enterprise-Kunden. Nicht verfügbar ist ZDR für Free-, Plus- oder Team-Pläne. Wie reagiert OpenAI? OpenAI kündigte an, gegen die Anordnung Berufung einzulegen, da die Maßnahme gegen seine eigenen Datenschutzzusagen und branchenübliche Standards verstoße. Die nun aufzubewahrenden Daten würden in einem separaten, gesicherten System gespeichert, das einem sogenannten „Legal Hold“, also einer rechtlichen Aufbewahrungspflicht, unterliegt. Der Zugriff sei streng auf ein kleines, geprüftes Team innerhalb von OpenAI beschränkt und erfolge nur, um rechtliche Vorgaben zu erfüllen, hieß es. Auf tatsächlicher Ebene bedeutet der „Legal Hold“ zunächst: Chats bleiben gespeichert, auch wenn Sie sie manuell löschen oder die „temporäre” Chatfunktion nutzen. Die Daten sind getrennt abgespeichert, gesichert und nur im Falle einer gerichtlichen Anordnung zugänglich. Kein öffentlicher Zugriff: Die New York Times oder andere Dritte erhalten die Daten nicht automatisch. Sie müssten hierfür eine gesonderte gerichtliche Herausgabeanordnung vorlegen. Unklarer Endzeitpunkt: Solange das Gerichtsverfahren läuft, bleibt der Legal Hold aktiv – ein genaues Ablaufdatum gibt es nicht. Wichtig ist die Klarstellung von OpenAI, dass diese Änderung keine Auswirkungen auf die Richtlinien zur Verwendung von Daten für das KI-Training haben soll. Nutzer können weiterhin selbst bestimmen, ob ihre Inhalte zur Verbesserung der Modelle genutzt werden dürfen. Legal Hold ist datenschutzrechtlich bedenklich Rechtlich steht die unbegrenzte Speicherung von Daten steht jedoch im direkten Widerspruch zu fundamentalen Prinzipien der Europäischen Datenschutzgrundverordnung (DSGVO). Dazu zählen vorrangig das Recht auf Vergessenwerden (Art. 17 DSGVO) und der Grundsatz der Datenminimierung (Art. 5 DSGVO). Ein US-Gerichtsbeschluss hebelt also de facto zentrale Datenschutzrechte für europäische Bürger aus. Daher bleibt abzuwarten, wie sich die europäischen Datenschutzaufsichtsbehörden diesbezüglich positionieren werden. Bisher haben sich weder die europäischen (die irische Data Protection Commission ist für die europäische Gesellschaft OpenAI Ireland Limited und für die EU-Kunden zuständig) noch die deutschen Aufsichtsbehörden geäußert. Seit 2023 werden die OpenAI-Dienste bereits von unterschiedlichen Datenschutzaufsichtsbehörden unter die Lupe genommen. Für die betroffenen Unternehmen entsteht dadurch ein neues, relevantes Risiko bei der Nutzung von Drittanbieter-Services. Die Aufbewahrung und Löschung der eigenen Daten bei Dritten, deren Dienste genutzt werden, ist ein zentraler Punkt bei der Gewährleistung der Datenschutz-Compliance. Unternehmen, die OpenAI-Dienste nutzen, stehen vor dem Problem, eigene rechtliche und vertragliche Pflichten allenfalls nicht mehr einhalten zu können. Das Risiko, dass ein Anbieter wie OpenAI aufgrund einer behördlichen oder gerichtlichen Verfügung bestimmte Daten aller Nutzer aufbewahren muss, beziehungsweise nicht mehr löschen darf, war bislang allerdings kein gängiger Bestandteil von Risikobeurteilungen. Das wird sich jetzt ändern müssen, nicht nur mit Blick in die USA. Vorsicht bei ChatGPT-Nutzung Im Ergebnis hat die Anordnung des US-Gerichts auch für einen Großteil der Nutzer in der EU erhebliche Auswirkungen hinsichtlich ihrer Datenschutzkonformität bei der Nutzung der OpenAI Dienste. Trotz angekündigter Berufung gegen die Anordnung muss OpenAI vorerst dem Beschluss Folge leisten. Solange die Anordnung Wirkung entfaltet, sollten betroffene europäische Nutzer sicherstellen, dass keine besonders sensiblen und vertraulichen Informationen sowie personenbezogene Daten unbegrenzt durch OpenAI gespeichert werden. Kurzfristig sollten schlicht keine personenbezogenen Daten, vertraulichen Informationen und Geschäftsgeheimnisse in ChatGPT eingegeben werden. Soweit noch nicht geschehen, sollten unternehmensinterne Verhaltensregeln und Richtlinien für den Umgang mit und die Nutzung von ChatGPT durch die Mitarbeitenden entsprechend umformuliert werden. Längerfristig können strategische Überlegungen hinsichtlich sogenannter Self-Hostings und Open-Source-Modellen angestellt werden. Eine Option kann der Umstieg auf interne KI-Lösungen sein. Statt ChatGPT über die Cloud zu nutzen, können Unternehmen Large Language Models (LLMs) auf eigenen Servern oder in einer privaten Cloud betreiben. Dadurch behalten sie die volle Kontrolle über die Daten – und können Löschfristen und Logs selbstbestimmt managen. Zudem haben Open-Source-Modelle wie LLaMA, GPT-J oder GPT4All in letzter Zeit erhebliche Fortschritte gemacht. Ihr Vorteil liegt neben der Kostenersparnis vor allem in der Datensouveränität. Die Daten bleiben im Unternehmen, was Data-Privacy-Risiken erheblich reduziert. Allerdings müssen Unternehmen dafür in Expertise und Rechenressourcen investieren. Allerdings stehen diese Modelle mit Blick auf die Leistungsfähigkeit (noch) hinter dem marktführenden GPT-4 zurück. Eine Zwischenlösung sind die Enterprise-Angebote von OpenAI mit den beschriebenen vertraglich zugesicherten Datenschutz-Features (ZDR) und Datenverbleib in der EU-Region für europäische Kunden. Für Unternehmen, die auf OpenAI-Dienste setzen, unterstreicht dieser Fall eindrücklich den Wert einer Zero-Data-Retention-Vereinbarung, um die Kontrolle über die eigenen Daten und die der eigenen Kunden zu behalten. Zuletzt sind die rechtlichen Entwicklungen im Blick zu halten, um auf neue Entscheidungen reagieren zu können. Auch die Entscheidungen der Datenschutzbehörden könnten neue Auflagen oder Einschränkungen mit sich bringen. (mb)
ChatGPT-Nutzer zwischen Legal Hold und DSGVO
srcset="https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?quality=50&strip=all 6000w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=444%2C250&quality=50&strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px">Eine gerichtliche Anordnung in den USA birgt für europäische ChatGPT-Nutzer DSGVO-Gefahren. PatrickAssale / Shutterstock.com ChatGPT-Nutzer aufgepasst! Eine aktuelle gerichtliche Verfügung in den USA verpflichtet OpenAI dazu, Nutzerdaten und -inhalte weiterhin zu speichern – selbst dann, wenn diese eigentlich gelöscht werden sollten. Diese Anordnung wirft bedeutende Fragen hinsichtlich Datenschutz, Urheberrecht und der zukünftigen Entwicklung von Künstlicher Intelligenz (KI) auf. Auch der Europäische Gerichtshof (EuGH) sowie das Oberlandesgericht Hamburg setzen sich derzeit im Rahmen laufender Verfahren mit diesen rechtlichen Herausforderungen auseinander. Hintergrund ist eine Klage mehrerer großer Verlagshäuser, darunter die New York Times, gegen OpenAI. Sie werfen dem Unternehmen vor, es habe urheberrechtlich geschützte Inhalte zum Training seiner KI-Modelle genutzt. Die Kläger argumentieren, dass ChatGPT urheberrechtlich geschützte Inhalte ihrer Artikel in Antworten wiedergibt, sodass Nutzer diese Inhalte lesen können, ohne die Originalquellen zu besuchen. Um sicherzustellen, dass alle Chat-Protokolle – auch vom Nutzer gelöschte – (all Output Log Data) als potenzielle Beweismittel erhalten bleiben, hat das Bezirksgericht in New York Mitte Mai einen entsprechenden Beschluss erlassen. Dieser verpflichtet OpenAI, sämtliche ChatGPT-Konversationen vorerst aufzubewahren – auch solche, die eigentlich hätten gelöscht werden sollen. Wer ist betroffen? Obwohl die gerichtliche Anordnung zur Datenspeicherung nur in den USA gilt, betrifft sie Nutzer weltweit, da OpenAI global agiert. Betroffen sind Benutzer der meistverbreiten Versionen von ChatGPT, also Free, Plus, Pro und Team sowie API-Kunden ohne spezielle Datenschutzvereinbarungen. Auch die Inhalte von Nutzern, die einen Auftragsverarbeitungsvertrag (AVV) mit OpenAI Ireland Limited abgeschlossen haben, fallen unter diese Regelung – zumindest sofern sie keine „Zero Data Retention“ (ZDR) -Vereinbarung abgeschlossen haben. Ausgenommen sind lediglich Nutzer von ChatGPT Enterprise, Edu oder solche mit Vertrag zur Zero Data Retention (ZDR). Bei letzterem sichert OpenAI zu, Ein- und Ausgaben grundsätzlich nicht zu speichern. Diese Nutzer behalten weiterhin eine automatische Löschpraxis nach 30 Tagen. Die ZDR-Vereinbarung ist allerdings nur für bestimmte Kundengruppen verfügbar, insbesondere Enterprise-Kunden. Nicht verfügbar ist ZDR für Free-, Plus- oder Team-Pläne. Wie reagiert OpenAI? OpenAI kündigte an, gegen die Anordnung Berufung einzulegen, da die Maßnahme gegen seine eigenen Datenschutzzusagen und branchenübliche Standards verstoße. Die nun aufzubewahrenden Daten würden in einem separaten, gesicherten System gespeichert, das einem sogenannten „Legal Hold“, also einer rechtlichen Aufbewahrungspflicht, unterliegt. Der Zugriff sei streng auf ein kleines, geprüftes Team innerhalb von OpenAI beschränkt und erfolge nur, um rechtliche Vorgaben zu erfüllen, hieß es. Auf tatsächlicher Ebene bedeutet der „Legal Hold“ zunächst: Chats bleiben gespeichert, auch wenn Sie sie manuell löschen oder die „temporäre” Chatfunktion nutzen. Die Daten sind getrennt abgespeichert, gesichert und nur im Falle einer gerichtlichen Anordnung zugänglich. Kein öffentlicher Zugriff: Die New York Times oder andere Dritte erhalten die Daten nicht automatisch. Sie müssten hierfür eine gesonderte gerichtliche Herausgabeanordnung vorlegen. Unklarer Endzeitpunkt: Solange das Gerichtsverfahren läuft, bleibt der Legal Hold aktiv – ein genaues Ablaufdatum gibt es nicht. Wichtig ist die Klarstellung von OpenAI, dass diese Änderung keine Auswirkungen auf die Richtlinien zur Verwendung von Daten für das KI-Training haben soll. Nutzer können weiterhin selbst bestimmen, ob ihre Inhalte zur Verbesserung der Modelle genutzt werden dürfen. Legal Hold ist datenschutzrechtlich bedenklich Rechtlich steht die unbegrenzte Speicherung von Daten steht jedoch im direkten Widerspruch zu fundamentalen Prinzipien der Europäischen Datenschutzgrundverordnung (DSGVO). Dazu zählen vorrangig das Recht auf Vergessenwerden (Art. 17 DSGVO) und der Grundsatz der Datenminimierung (Art. 5 DSGVO). Ein US-Gerichtsbeschluss hebelt also de facto zentrale Datenschutzrechte für europäische Bürger aus. Daher bleibt abzuwarten, wie sich die europäischen Datenschutzaufsichtsbehörden diesbezüglich positionieren werden. Bisher haben sich weder die europäischen (die irische Data Protection Commission ist für die europäische Gesellschaft OpenAI Ireland Limited und für die EU-Kunden zuständig) noch die deutschen Aufsichtsbehörden geäußert. Seit 2023 werden die OpenAI-Dienste bereits von unterschiedlichen Datenschutzaufsichtsbehörden unter die Lupe genommen. Für die betroffenen Unternehmen entsteht dadurch ein neues, relevantes Risiko bei der Nutzung von Drittanbieter-Services. Die Aufbewahrung und Löschung der eigenen Daten bei Dritten, deren Dienste genutzt werden, ist ein zentraler Punkt bei der Gewährleistung der Datenschutz-Compliance. Unternehmen, die OpenAI-Dienste nutzen, stehen vor dem Problem, eigene rechtliche und vertragliche Pflichten allenfalls nicht mehr einhalten zu können. Das Risiko, dass ein Anbieter wie OpenAI aufgrund einer behördlichen oder gerichtlichen Verfügung bestimmte Daten aller Nutzer aufbewahren muss, beziehungsweise nicht mehr löschen darf, war bislang allerdings kein gängiger Bestandteil von Risikobeurteilungen. Das wird sich jetzt ändern müssen, nicht nur mit Blick in die USA. Vorsicht bei ChatGPT-Nutzung Im Ergebnis hat die Anordnung des US-Gerichts auch für einen Großteil der Nutzer in der EU erhebliche Auswirkungen hinsichtlich ihrer Datenschutzkonformität bei der Nutzung der OpenAI Dienste. Trotz angekündigter Berufung gegen die Anordnung muss OpenAI vorerst dem Beschluss Folge leisten. Solange die Anordnung Wirkung entfaltet, sollten betroffene europäische Nutzer sicherstellen, dass keine besonders sensiblen und vertraulichen Informationen sowie personenbezogene Daten unbegrenzt durch OpenAI gespeichert werden. Kurzfristig sollten schlicht keine personenbezogenen Daten, vertraulichen Informationen und Geschäftsgeheimnisse in ChatGPT eingegeben werden. Soweit noch nicht geschehen, sollten unternehmensinterne Verhaltensregeln und Richtlinien für den Umgang mit und die Nutzung von ChatGPT durch die Mitarbeitenden entsprechend umformuliert werden. Längerfristig können strategische Überlegungen hinsichtlich sogenannter Self-Hostings und Open-Source-Modellen angestellt werden. Eine Option kann der Umstieg auf interne KI-Lösungen sein. Statt ChatGPT über die Cloud zu nutzen, können Unternehmen Large Language Models (LLMs) auf eigenen Servern oder in einer privaten Cloud betreiben. Dadurch behalten sie die volle Kontrolle über die Daten – und können Löschfristen und Logs selbstbestimmt managen. Zudem haben Open-Source-Modelle wie LLaMA, GPT-J oder GPT4All in letzter Zeit erhebliche Fortschritte gemacht. Ihr Vorteil liegt neben der Kostenersparnis vor allem in der Datensouveränität. Die Daten bleiben im Unternehmen, was Data-Privacy-Risiken erheblich reduziert. Allerdings müssen Unternehmen dafür in Expertise und Rechenressourcen investieren. Allerdings stehen diese Modelle mit Blick auf die Leistungsfähigkeit (noch) hinter dem marktführenden GPT-4 zurück. Eine Zwischenlösung sind die Enterprise-Angebote von OpenAI mit den beschriebenen vertraglich zugesicherten Datenschutz-Features (ZDR) und Datenverbleib in der EU-Region für europäische Kunden. Für Unternehmen, die auf OpenAI-Dienste setzen, unterstreicht dieser Fall eindrücklich den Wert einer Zero-Data-Retention-Vereinbarung, um die Kontrolle über die eigenen Daten und die der eigenen Kunden zu behalten. Zuletzt sind die rechtlichen Entwicklungen im Blick zu halten, um auf neue Entscheidungen reagieren zu können. Auch die Entscheidungen der Datenschutzbehörden könnten neue Auflagen oder Einschränkungen mit sich bringen. (mb)
ChatGPT-Nutzer zwischen Legal Hold und DSGVO srcset="https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?quality=50&strip=all 6000w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/07/shutterstock_2268826497_16.jpg?resize=444%2C250&quality=50&strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px">Eine gerichtliche Anordnung in den USA birgt für europäische ChatGPT-Nutzer DSGVO-Gefahren. PatrickAssale / Shutterstock.com ChatGPT-Nutzer aufgepasst! Eine aktuelle gerichtliche Verfügung in den USA verpflichtet OpenAI dazu, Nutzerdaten und -inhalte weiterhin zu speichern – selbst dann, wenn diese eigentlich gelöscht werden sollten. Diese Anordnung wirft bedeutende Fragen hinsichtlich Datenschutz, Urheberrecht und der zukünftigen Entwicklung von Künstlicher Intelligenz (KI) auf. Auch der Europäische Gerichtshof (EuGH) sowie das Oberlandesgericht Hamburg setzen sich derzeit im Rahmen laufender Verfahren mit diesen rechtlichen Herausforderungen auseinander. Hintergrund ist eine Klage mehrerer großer Verlagshäuser, darunter die New York Times, gegen OpenAI. Sie werfen dem Unternehmen vor, es habe urheberrechtlich geschützte Inhalte zum Training seiner KI-Modelle genutzt. Die Kläger argumentieren, dass ChatGPT urheberrechtlich geschützte Inhalte ihrer Artikel in Antworten wiedergibt, sodass Nutzer diese Inhalte lesen können, ohne die Originalquellen zu besuchen. Um sicherzustellen, dass alle Chat-Protokolle – auch vom Nutzer gelöschte – (all Output Log Data) als potenzielle Beweismittel erhalten bleiben, hat das Bezirksgericht in New York Mitte Mai einen entsprechenden Beschluss erlassen. Dieser verpflichtet OpenAI, sämtliche ChatGPT-Konversationen vorerst aufzubewahren – auch solche, die eigentlich hätten gelöscht werden sollen. Wer ist betroffen? Obwohl die gerichtliche Anordnung zur Datenspeicherung nur in den USA gilt, betrifft sie Nutzer weltweit, da OpenAI global agiert. Betroffen sind Benutzer der meistverbreiten Versionen von ChatGPT, also Free, Plus, Pro und Team sowie API-Kunden ohne spezielle Datenschutzvereinbarungen. Auch die Inhalte von Nutzern, die einen Auftragsverarbeitungsvertrag (AVV) mit OpenAI Ireland Limited abgeschlossen haben, fallen unter diese Regelung – zumindest sofern sie keine „Zero Data Retention“ (ZDR) -Vereinbarung abgeschlossen haben. Ausgenommen sind lediglich Nutzer von ChatGPT Enterprise, Edu oder solche mit Vertrag zur Zero Data Retention (ZDR). Bei letzterem sichert OpenAI zu, Ein- und Ausgaben grundsätzlich nicht zu speichern. Diese Nutzer behalten weiterhin eine automatische Löschpraxis nach 30 Tagen. Die ZDR-Vereinbarung ist allerdings nur für bestimmte Kundengruppen verfügbar, insbesondere Enterprise-Kunden. Nicht verfügbar ist ZDR für Free-, Plus- oder Team-Pläne. Wie reagiert OpenAI? OpenAI kündigte an, gegen die Anordnung Berufung einzulegen, da die Maßnahme gegen seine eigenen Datenschutzzusagen und branchenübliche Standards verstoße. Die nun aufzubewahrenden Daten würden in einem separaten, gesicherten System gespeichert, das einem sogenannten „Legal Hold“, also einer rechtlichen Aufbewahrungspflicht, unterliegt. Der Zugriff sei streng auf ein kleines, geprüftes Team innerhalb von OpenAI beschränkt und erfolge nur, um rechtliche Vorgaben zu erfüllen, hieß es. Auf tatsächlicher Ebene bedeutet der „Legal Hold“ zunächst: Chats bleiben gespeichert, auch wenn Sie sie manuell löschen oder die „temporäre” Chatfunktion nutzen. Die Daten sind getrennt abgespeichert, gesichert und nur im Falle einer gerichtlichen Anordnung zugänglich. Kein öffentlicher Zugriff: Die New York Times oder andere Dritte erhalten die Daten nicht automatisch. Sie müssten hierfür eine gesonderte gerichtliche Herausgabeanordnung vorlegen. Unklarer Endzeitpunkt: Solange das Gerichtsverfahren läuft, bleibt der Legal Hold aktiv – ein genaues Ablaufdatum gibt es nicht. Wichtig ist die Klarstellung von OpenAI, dass diese Änderung keine Auswirkungen auf die Richtlinien zur Verwendung von Daten für das KI-Training haben soll. Nutzer können weiterhin selbst bestimmen, ob ihre Inhalte zur Verbesserung der Modelle genutzt werden dürfen. Legal Hold ist datenschutzrechtlich bedenklich Rechtlich steht die unbegrenzte Speicherung von Daten steht jedoch im direkten Widerspruch zu fundamentalen Prinzipien der Europäischen Datenschutzgrundverordnung (DSGVO). Dazu zählen vorrangig das Recht auf Vergessenwerden (Art. 17 DSGVO) und der Grundsatz der Datenminimierung (Art. 5 DSGVO). Ein US-Gerichtsbeschluss hebelt also de facto zentrale Datenschutzrechte für europäische Bürger aus. Daher bleibt abzuwarten, wie sich die europäischen Datenschutzaufsichtsbehörden diesbezüglich positionieren werden. Bisher haben sich weder die europäischen (die irische Data Protection Commission ist für die europäische Gesellschaft OpenAI Ireland Limited und für die EU-Kunden zuständig) noch die deutschen Aufsichtsbehörden geäußert. Seit 2023 werden die OpenAI-Dienste bereits von unterschiedlichen Datenschutzaufsichtsbehörden unter die Lupe genommen. Für die betroffenen Unternehmen entsteht dadurch ein neues, relevantes Risiko bei der Nutzung von Drittanbieter-Services. Die Aufbewahrung und Löschung der eigenen Daten bei Dritten, deren Dienste genutzt werden, ist ein zentraler Punkt bei der Gewährleistung der Datenschutz-Compliance. Unternehmen, die OpenAI-Dienste nutzen, stehen vor dem Problem, eigene rechtliche und vertragliche Pflichten allenfalls nicht mehr einhalten zu können. Das Risiko, dass ein Anbieter wie OpenAI aufgrund einer behördlichen oder gerichtlichen Verfügung bestimmte Daten aller Nutzer aufbewahren muss, beziehungsweise nicht mehr löschen darf, war bislang allerdings kein gängiger Bestandteil von Risikobeurteilungen. Das wird sich jetzt ändern müssen, nicht nur mit Blick in die USA. Vorsicht bei ChatGPT-Nutzung Im Ergebnis hat die Anordnung des US-Gerichts auch für einen Großteil der Nutzer in der EU erhebliche Auswirkungen hinsichtlich ihrer Datenschutzkonformität bei der Nutzung der OpenAI Dienste. Trotz angekündigter Berufung gegen die Anordnung muss OpenAI vorerst dem Beschluss Folge leisten. Solange die Anordnung Wirkung entfaltet, sollten betroffene europäische Nutzer sicherstellen, dass keine besonders sensiblen und vertraulichen Informationen sowie personenbezogene Daten unbegrenzt durch OpenAI gespeichert werden. Kurzfristig sollten schlicht keine personenbezogenen Daten, vertraulichen Informationen und Geschäftsgeheimnisse in ChatGPT eingegeben werden. Soweit noch nicht geschehen, sollten unternehmensinterne Verhaltensregeln und Richtlinien für den Umgang mit und die Nutzung von ChatGPT durch die Mitarbeitenden entsprechend umformuliert werden. Längerfristig können strategische Überlegungen hinsichtlich sogenannter Self-Hostings und Open-Source-Modellen angestellt werden. Eine Option kann der Umstieg auf interne KI-Lösungen sein. Statt ChatGPT über die Cloud zu nutzen, können Unternehmen Large Language Models (LLMs) auf eigenen Servern oder in einer privaten Cloud betreiben. Dadurch behalten sie die volle Kontrolle über die Daten – und können Löschfristen und Logs selbstbestimmt managen. Zudem haben Open-Source-Modelle wie LLaMA, GPT-J oder GPT4All in letzter Zeit erhebliche Fortschritte gemacht. Ihr Vorteil liegt neben der Kostenersparnis vor allem in der Datensouveränität. Die Daten bleiben im Unternehmen, was Data-Privacy-Risiken erheblich reduziert. Allerdings müssen Unternehmen dafür in Expertise und Rechenressourcen investieren. Allerdings stehen diese Modelle mit Blick auf die Leistungsfähigkeit (noch) hinter dem marktführenden GPT-4 zurück. Eine Zwischenlösung sind die Enterprise-Angebote von OpenAI mit den beschriebenen vertraglich zugesicherten Datenschutz-Features (ZDR) und Datenverbleib in der EU-Region für europäische Kunden. Für Unternehmen, die auf OpenAI-Dienste setzen, unterstreicht dieser Fall eindrücklich den Wert einer Zero-Data-Retention-Vereinbarung, um die Kontrolle über die eigenen Daten und die der eigenen Kunden zu behalten. Zuletzt sind die rechtlichen Entwicklungen im Blick zu halten, um auf neue Entscheidungen reagieren zu können. Auch die Entscheidungen der Datenschutzbehörden könnten neue Auflagen oder Einschränkungen mit sich bringen. (mb)