ChatGPT und DSGVO – zwei Abkürzungen, die sich verstehen?
Häufig führt die Nutzung neuer Technologien – oder die Hochskalierung bzw. der Hype um bereits seit längerem genutzte Technologien – zu neuen Datenschutzproblemen. Wirklich neuen Datenschutzproblemen? Nein, tatsächlich sind die Probleme meist schon länger bekannt, treten aber nun in „Massensachverhalten“ zutage und der Ruf nach Einordnung und Aktivität wird lauter. Das KI-Tool ChatGPT hat in letzter Zeit ungeahnte Popularität gewonnen und wird mit Anfragen bombardiert. So mancher Fragesteller wird sich deshalb darüber Gedanken machen, was mit personenbezogenen Daten passiert, die im Rahmen eines Prompts (Eingabe) an das System übermittelt werden. Man kann ChatGPT etwa dazu befragen, was es über bestimmte Personen weiß, oder es mit Texten „füttern“ (z. B. um diese zusammenfassen zu lassen), die personenbezogene Daten enthalten. Ist die Nutzung datenschutzrechtlich problematisch?
Aus datenschutzrechtlicher Sicht vereint ChatGPT aus der Sicht des Fragestellers (Nutzers) im Wesentlichen drei Funktionen:
Der übermittelte Prompt kann personenbezogene Daten des Fragestellers selbst oder von Dritten enthalten (Eingabedaten).
Die Eingabedaten werden zu Entwicklungszwecken, insbesondere zum Training des KI-Modells von ChatGPT verwendet (Trainingsdaten).
Die Eingabedaten werden ganz oder teilweise in Ausgaben gegenüber anderen Fragestellern verwendet (Ausgabedaten).
Eingabedaten
Natürlich ist die Verwendung personenbezogener Daten als Teil der Eingabeinformationen in digitale Funktionen und Dienste (SaaS) nichts Neues. Oft werden solche Dienste datenschutzrechtlich im Wege der Auftragsverarbeitung betrieben, d. h. der Diensteanbieter verpflichtet sich, mit den eingegebenen Daten nur auftragsgemäß umzugehen. In diesem Fall sind die datenschutzrechtlichen Fragestellungen, um die es geht, sehr klar umgrenzt. Im Wesentlichen muss es eine DSGVO-konforme Auftragsverarbeitungsvereinbarung geben, der Auftragsverarbeiter muss vom Verantwortlichen auf die Einhaltung der DSGVO hin kontrolliert werden und der Verantwortliche muss den Betroffenen über die Weitergabe der Daten an den Auftragsverarbeiter informieren. Viele Dienste im B2B-Kontext basieren, zumindest „schwerpunktmäßig“ (d. h. mit teils vagen Vorbehalten einer Nutzung zu eigenen Zwecken), auf einer Auftragsverarbeitung, so auch z. B. Microsoft Office 365.
Dieser Fall liegt bei der „gewöhnlichen“ ChatGPT-Plattform nicht vor (anders bei Nutzung der „OpenAI API“, d. h. bei Drittzugängen). Vielmehr ist der Betreiber OpenAI eigenständiger Verantwortlicher, da eine Auftragsverarbeitungsvereinbarung mit ChatGPT nicht abgeschlossen wird und die Eingabedaten vom Betreiber OpenAI auch – bis zum „Opt-Out“ – zu dessen eigenem Zweck verwendet werden (können), das KI-Modell zu verbessern:
“When you use our non-API consumer services ChatGPT or DALL-E, we may use the data you provide us to improve our models. You can request to opt-out of having your data used to improve our non-API services by filling out this form with your organization ID and email address associated with the owner of the account.”
Diese Stellung als eigenständig Verantwortlicher im Sinne der DSGVO führt dazu, dass OpenAI dem Betroffenen datenschutzrechtliche Pflichtinformationen über Kontaktdaten, Verarbeitungszwecke, Speicherdauer, Weitergaben an Dritte, Rechte des Betroffenen etc. zur Verfügung stellen muss. Ob die entsprechenden Informationen (https://openai.com/policies/privacy-policy) sämtliche Informationen beinhalten, die nach der DSGVO gefordert werden, soll hier nicht untersucht werden. Unabhängig davon ist jedoch datenschutzrechtlich nach wie vor unklar, ob der Übermittlungsempfänger (OpenAI) dem einzelnen Betroffenen, dessen Daten (ohne sein Zutun) als Teil der Eingabedaten übermittelt werden, die maßgeblichen Pflichtinformationen direkt (aktiv) „mitteilen“ muss (was alleine mit technischen Mitteln gar nicht umsetzbar wäre).
Unabhängig von den formalen Pflichtinformationen müsste jeder Verantwortliche, der Eingabedaten (nicht über sich selbst, aber über Dritte) an ChatGPT gibt, sicherstellen, hierzu berechtigt zu sein. Ein solcher Verantwortlicher kann ein Arbeitgeber sein, der personenbezogene Daten eines Arbeitnehmers als Teil einer Anfrage verwendet, oder ein Trainer, der personenbezogene Daten eines neuen Mannschaftsmitglieds der Hobby-Mannschaft als Teil seiner Anfrage verwendet. Dieses Problem ist weder neu noch ChatGPT-spezifisch. Auch wer beispielsweise in die Google-Suche personenbezogene Daten eingibt, hat dasselbe Problem.
Um als Verantwortlicher überhaupt beurteilen zu können, ob die Übermittlung datenschutzrechtlich zulässig ist, muss er wissen, was der Empfänger mit den übermittelten personenbezogenen Daten anstellt. Unabhängig von einer möglichen Pflicht, (auch) als übermittelnder Verantwortlicher den Betroffenen formal von der Übermittlung von dessen personenbezogen Daten an ChatGPT zu informieren, muss sich der Verantwortliche also vor dem Hintergrund dessen, was mit den Daten bei ChatGPT alles noch passieren wird, überlegen, ob er die personenbezogenen Daten für die Übermittlung verwenden darf. Bei ChatGPT liegt das Problem zwar – wie bei allen Übermittlungen personenbezogener Daten – auch darin, dass die übermittelten Daten unterwegs oder beim Übermittlungsempfänger OpenAI „abhanden“ kommen können, hauptsächlich aber darin, dass die Eingabedaten als Trainingsdaten und Ausgabedaten (insbesondere späterer Abfragen durch Dritte) „zweitverwertet“ werden.
Trainingsdaten
OpenAI erklärt, den Personenbezug jeglicher Eingabedaten vor ihrer Verwendung als Trainingsdaten zu eliminieren:
“We remove any personally identifiable information from data we intend to use to improve model performance. We also only use a small sampling of data per customer for our efforts to improve model performance. We take great care to use appropriate technical and process controls to secure your data.”
Das lässt erst einmal die Frage offen, wie lange die Eingabedaten als solche bei OpenAI gespeichert (vorgehalten) werden. Eine solche Fortspeicherung läge durchaus im Interesse von OpenAI, um auch in Zukunft analysieren zu können, wofür ChatGPT typischerweise oder in bestimmten Kontexten genutzt wurde. Dass die Eingabedaten zumindest für eine gewisse Zeit gespeichert werden, zeigt die nach dem Einloggen verfügbare Chat-Historie. Die während der Speicherung konkret angewandten „angemessenen technischen und Prozess-Kontrollen zur Sicherung der Daten“ bei OpenAI sind unklar.
Selbst wenn OpenAI die Eingabedaten zügig nach Bearbeitung der konkreten Anfrage in ein „anonymisiertes Zwischenformat“ (für Trainingszwecke) überführen und dann (endgültig) löschen würde, stellt sich doch die Frage, ob OpenAI im Rahmen der DSGVO für diese Anonymisierung eine eigene datenschutzrechtliche Rechtsgrundlage benötigt. Es gibt datenschutzrechtliche Stimmen, wonach die Anonymisierung als solche eine Verarbeitungshandlung unter der DSGVO ist. Und selbst ungeachtet dessen ist anonym natürlich nicht immer anonym im datenschutzrechtlichen Sinne. Datenschutzrechtlich wird anonym als „fehlender Personenbezug“ definiert. Werden (vermeintlich) anonyme Daten aus personenbezogenen Daten generiert, muss bestimmt werden, welche Möglichkeiten bestehen und wie viel Aufwand notwendig ist, um den Personenbezug wieder herzustellen im Sinne einer „De-Anonymisierung“. Es kann durchaus sein, dass die von OpenAI erklärte Tilgung sämtlicher personenbeziehbarer Information nach DSGVO-Maßstäben eben keine Tilgung ist.
Aus dem oben zitierten Statement von OpenAI in einem Policy-Artikel mit dem Titel „How your data is used to improve model performance“ lassen sich all diese Fragen nicht beantworten und die „Privacy Policy“ erwähnt eine Anonymisierung der Eingabedaten nur als Möglichkeit. Es ist denkbar, aber aus der Ferne nicht beurteilbar, dass die interne Umgangsweise mit personenbezogenen Daten bei OpenAI nicht den „privacy by design“-Vorgaben der DSGVO entspricht.
Ausgabedaten
ChatGPT gibt im Grundsatz keine Informationen darüber preis, aus welchen Trainingsdaten eine konkrete Antwort erzeugt wurde. Man kann ChatGPT nach Quellen zu einer konkreten Antwort fragen, aber die angegebenen Quellen (insbesondere URLs) existieren häufig nicht, weil KI-Modelle normalerweise – so auch hier – nicht daraufhin ausgelegt werden, die maßgeblichen Trainingsdaten später als solche rekonstruieren (bzw. darauf verweisen) zu können. Die Trainingsdaten „parametrisieren“ das Netz künstlicher Neuronen, werden aber nicht als solche mit den daraus hervorgehenden Parametern (die das Ergebnis vieler Trainingsvorgänge sind) verknüpft. Man könnte sagen, dass derartige KI-Modelle mithilfe der Trainingsdaten geformt wurden, ohne dass sich das Modell an die Trainingsdaten als solche bzw. deren Herkunft im Einzelnen „erinnern“ kann. Bei Fragen nach der Herkunft des Wissens neigt das System aufgrund seiner auf Zusammenhangs-Wahrscheinlichkeiten aufgebauten Struktur zum „Halluzinieren“.
Das kann aber nicht darüber hinwegtäuschen, dass sich – wie bei jedem „Transformer“-Modell, bei dem Eingabesequenzen mittels des künstlichen neuronalen Netzwerks in Ausgabesequenzen „transformiert“ werden – Trainingsdaten bruchstückhaft in den Ausgabedaten wiederfinden. In diesem Sinne sind Ausgabedaten „verarbeitete“ Trainingsdaten, aus deren einzelnen Elementen mithilfe der jeweiligen Eingabedaten selektiert wurde. Entsprechend besteht eine häufige „Attacke“ auf KI-Modelle darin, deren Trainingsdaten „von außen“ sichtbar zu machen im Sinne eines „reverse engineering“. Die als Trainingsdaten verwendeten Eingabedaten sind also nach dem Training nicht „verschwunden“ oder derart abstrahiert worden, dass nur (Satz-) Strukturen, aber keine inhaltliche Information übrigbleiben, sondern sie werden Teil des KI-Modells selbst. Wer beispielsweise ChatGPT fragt, an welchen Krankheiten Ludwig van Beethoven litt, erhält eine aus den Trainingsdaten „exzerpierte“ und in das KI-Modell überführte Information und nicht das Ergebnis eines ad-hoc-Datenbank- oder -Internet-Zugriffes (solange keine Zusatzinformationen genutzt werden).
Bleiben wir zunächst noch bei den Trainingsdaten, die nach den Verlautbarungen von OpenAI aus den oben beschriebenen Eingabedaten im laufenden ChatGPT-Betrieb gewonnen werden könnten. Wenn die Eingangsdaten bei der Verwendung als Trainingsdaten nicht wirksam anonymisiert wurden (s. o.) und im Rahmen des Trainings Sachinformation und Personenbezug in das Modell übergehen, liegen die ursprünglichen, personenbezogenen Eingabedaten dort in verarbeiteter Form vor. Bekanntlich erfasst die DSGVO jegliche (auch inhaltliche) „Verarbeitung“ personenbezogener Daten. Bei einer zielgerichteten Abfrage (durch Dritte) können diese personenbezogenen Eingabedaten dann, ganz oder auszugsweise, inhaltlich richtig oder falsch, in den Ausgabedaten enthalten sein. Die datenschutzrechtliche Legitimation eines Fragestellers, der personenbezogene Daten eines Dritten in seinem ChatGPT-Prompt verwendet, ist (auch) deshalb durchaus zweifelhaft. In der EU würde man einem vergleichbaren Diensteanbieter wohl aufgrund dieser – in den Details undurchsichtigen – Verfügbarkeit personenbezogener Eingabe- bzw. daraus hervorgehender Trainingsdaten dringend zu einer Datenschutz-Folgenabschätzung raten.
Die Erkenntnis über die „Verinnerlichung“ von Trainingsdaten wirft aber natürlich auch die weitere Frage auf, ob die Verwendung von personenbezogenen Trainingsdaten, die im Rahmen des ursprünglichen (historischen) Trainings von ChatGPT dem Internet entnommen wurden, datenschutzrechtlich zu Trainingszwecken herangezogen werden durften. Im Falle von ChatGPT ist dies in unbekannter Dimension geschehen. Die Veröffentlichung von personenbezogenen Daten im Internet macht diese allerdings nicht automatisch „datenschutzrechtlich vogelfrei“. Dies zeigt das Beispiel der Impressumsdaten, die aufgrund gesetzlicher Vorgaben veröffentlicht werden müssen und deren Veröffentlichung keine „Generaleinwilligung“ des Betroffenen zu jedweder Nutzung zugrunde liegt, aber auch das datenschutzwidrige, dem Betroffenen möglicherweise gar nicht bekannte Einstellen von personenbezogenen Daten. Dennoch sind einige Datenschutzrechtler der Ansicht, man könne das systematische Verwenden von Informationen im Internet (Web-Scraping) datenschutzrechtlich pauschal im Rahmen einer Interessenabwägung rechtfertigen (d. h. das Interesse der Betroffenen überwiegt nicht das Interesse des KI-Modellentwicklers). Eine ähnliche Frage ergibt sich auch, wenn ChatGPT „nur“ als „Natural Language Processing“-Interface für externe Datenbestände verwendet wird. Ein Beispiel ist das Browser-Plugin „WebChatGPT“, über welches eine ChatGPT-Anfrage nicht (vorrangig) die im Modell gespeicherten Sachinformationen verwendet, sondern aktuelle Internet-Suchergebnisse abfragt – die dann als Quellenangaben verfügbar sind – und diese z. B. zusammenfasst. Selbstverständlich können auch die Drittdatenbestände, auf die durch derartige Erweiterungen zugegriffen wird, personenbezogene Daten enthalten. Auch hier lässt sich argumentieren, dass ihre Erhebung und Nutzung im Rahmen der automatisierten Auswertung und Verarbeitung durch ChatGPT nicht alleine durch ihre Verfügbarkeit im Internet als solche legitimiert wird. Darauf soll aber hier nicht weiter eingegangen werden.
Was kann der verantwortliche Fragesteller tun?
Ein Verantwortlicher, der personenbezogene Daten als Teil eines Prompts verwendet, kann letztlich aufgrund der zur Verfügung stehenden Informationen nicht abschätzen, welchen Verwendungen diese Daten zugeführt werden. Datenschutzrechtlich sind die Prüfpflichten, die ein Verantwortlicher vor der Übermittlung an einen anderen Verantwortlichen hinsichtlich dessen „Datenschutzumgebung“ zu erfüllen hat, noch kaum erforscht. Wie in der Praxis von US-Unternehmen häufig, wird die Einhaltung der Datenschutzgesetze pauschal dem Übermittelnden auferlegt:
„If you use the Services to process personal data, you must provide legally adequate privacy notices and obtain necessary consents for the processing of such data, and you represent to us that you are processing such data in accordance with applicable law.”
Letztlich gibt der Anbieter OpenAI vor, dass der übermittelnde Verantwortliche sicherstellen muss, dass die Daten von OpenAI verarbeitet werden dürfen – ohne dass der übermittelnde Verantwortliche wissen kann, was mit diesen Daten im Einzelnen bei OpenAI geschieht. Unklar ist deshalb auch, ob die betroffene Person, selbst wenn der übermittelnde Verantwortliche zuvor über die Übermittlung an ChatGPT informiert hätte, überhaupt in diese Verarbeitung wirksam einwilligen kann. Einerseits kann der verantwortliche ChatGPT-Nutzer der betroffenen Person nicht erklären, wie die Daten bei OpenAI genau verarbeitet werden. Andererseits ist zweifelhaft, ob die pauschale – bislang im Rahmen von Pflichtinformationen wohl kaum verwendete – Zweckangabe (sinngemäß) „Nutzung für ChatGPT-Prompts“ ausreichend transparent bzw. konkret wäre. Die Erforschung, was dort genau passiert, wird so auf den Betroffenen „zurückdelegiert“.
Neben solchen Transparenzproblemen im Rahmen von Pflichtinformationen wird ChatGPT, wenn es aus mehreren Quellen Informationen über eine Person erhält, diese Informationen im Sinne einer Profilbildung miteinander assoziieren. Und möglicherweise werden mithilfe der in ChatGPT vorliegenden Informationen zu einer Person (durch Dritte, die diese Information abrufen) nachteilhafte automatisierte Entscheidungen getroffen. Ohne aber die Details zu all diesen datenschutzrechtlichen Risikobereichen zu kennen, ist datenschutzkonformes Verhalten für einen übermittelnden Verantwortlichen eigentlich nicht möglich. Selbst ein Widerspruch des übermittelnden Verantwortlichen gegen die Nutzung der übermittelten Daten zu Trainingszwecken (sodass die Eingabedaten damit auch nicht Teil späterer Ausgabedaten werden können) löst das Problem nur teilweise, weil unklar ist, wie lange und zu welchen genauen Zwecken die Eingabedaten als solche fortgespeichert werden (s. o.).
Internationaler Datentransfer
Die Ein- und Ausgabedaten werden an OpenAI-Server in den USA gesendet. Ein neuer Angemessenheitsbeschluss der EU auf Basis des „EU-U.S. Data Privacy Frameworks“ ist noch nicht gefasst worden. Es ist auch unklar, ob OpenAI sich unter diesem Framework zertifizieren lassen würde. Derzeit bietet OpenAI den Abschluss der aktuellen Standardvertragsklauseln (SCC) im Rahmen der „gewöhnlichen“ ChatGPT-Nutzung nicht an. Ob die vorliegenden Informationen über den Dienst geeignet sind, das derzeit geforderte Transfer-Impact-Assessment (TIA) für die Übermittlung und Verarbeitung in den USA vorzunehmen, ist zweifelhaft.
Ergebnis und Ausblick
Wie so oft im Datenschutzrecht ist man auf der sicheren Seite, wenn man personenbezogene Daten gar nicht erst einsetzt. Die persönliche Verwendung von ChatGPT unter Einsatz eigener personenbezogener Daten ist natürlich nicht verboten, aber vermutlich nur eingeschränkt sinnvoll. Sobald personenbezogene Daten Dritter verwendet werden, gerät der verantwortliche ChatGPT-Nutzer in ein datenschutzrechtliches Minenfeld, aus dem es derzeit keinen klaren Ausweg gibt. Insbesondere die mangelnde Transparenz der Datenverwendung, aber auch die bisherigen Sicherheitsvorfälle bei OpenAI (Datenlecks) waren ein Grund für ein Verbot von ChatGPT in Italien (auch) aus datenschutzrechtlichen Gründen. Ob ein solches Verbot rechtspolitisch erwünscht ist, steht auf einem anderen Blatt. Entscheidend ist für die Rechtsanwender, wie ChatGPT auf Benutzerseite rechtskonform betrieben werden kann.
In der Praxis gilt bis zu einer Sperrung des Dienstes der Grundsatz „Wo kein Kläger, da kein Richter“. Die Betroffenen erfahren in aller Regel schon – ebenso wie bei einer Google-Suche durch einen Dritten – nicht, dass und wofür ihre Daten vom Verantwortlichen (Fragesteller) verwendet wurden. Eine Nachverfolgung der Nutzung ihrer Daten ist der betroffenen Person damit schon im Ansatz unmöglich, weshalb diese auch gar nicht die Frage stellen kann, was dann nach der Übermittlung an einen Dienstleister mit ihren Daten genau geschieht. Dementsprechend (und mangels „Entdeckungsrisikos“) wird sich auch der übermittelnde Verantwortliche mit dieser Frage nicht weiter befassen und auch keinen diesbezüglichen (Erklärungs-) Druck auf den Übermittlungsempfänger ausüben. Da findet sich ChatGPT als Dienstleister und selbstständig Verantwortlicher in bester Gesellschaft mit verschiedensten App-, Plattform- und SaaS-Anbietern zum Hochladen von Bildern, Kontaktdaten oder Nachrichten mit beliebigem personenbezogenem Inhalt wieder. Häufig verarbeiten diese zwar die Eingabedaten wie gewünscht, speichern sie aber unbefristet fort und verwenden sie zu ganz anderen Zwecken bzw. behalten sich diese Verwendung vor. Das muss nicht unbedingt böser Wille sein, denn wer die DSGVO nicht kennt, aber Dienste (selbstverständlich) weltweit anbietet, kann eine ganz andere Vorstellung von der Schutzwürdigkeit personenbezogener Daten haben als die DSGVO. Auch aus diesem Grund werden in Zukunft weitere datenschutzrechtlich problematische Angebote wie Unkraut aus dem Boden schießen.
In dieser Gemengelange dürfte auch die Einsicht beim übermittelnden Verantwortlichen, dass die Daten schon nicht an den Dienstbetreiber hätten übermittelt werden dürfen, wenig helfen. Wenn überhaupt, wird die Übermittlung als „Kavaliersdelikt“ wahrgenommen, aus dem der betroffenen Person kein „wirklicher“ Schaden entstehen kann, weil – so der Rechtfertigungsgedanke, wenn er denn überhaupt gefasst wird – die Daten ohnehin in einer anonymen Masse untergehen. Künftiger „Schindluder“, der mit diesen Daten betrieben wird, steht von dieser Warte aus gesehen erst am Ende einer langen Ereigniskette, deren undurchsichtige Glieder allesamt mit (gefühlt) niedrigen Wahrscheinlichkeiten versehen sind. So viel „Wenn“ und „Aber“ ist kaum geeignet, den Anwender dazu zu motivieren, als sozialadäquat („Das machen doch alle anderen auch“) empfundene Handlungen einer vertieften rechtlichen Prüfung zu unterziehen und ggf. zu unterlassen. Wie so oft im Datenschutzrecht führt eine solche Prüfung zu vielen Zweifelsfragen (s. o.), was seinerseits wenig geeignet ist, die Bereitschaft zu rechtskonformem Verhalten (das sich im Nachhinein als überobligatorisch erweisen kann) zu bestärken. Wer in diesem Rahmen beispielsweise das „Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen“ vom November 2019 zurate zieht, wird naturgemäß wenig praktische „Guidance“ zu den oben skizzierten Fragen aus Anwendersicht erhalten.
Man kann nun mit etwas Distanz die Frage stellen, ob hier das Problem beim Gesetzgeber bzw. bei dessen Gesetzen (wie der DSGVO) liegt. Ist die vage und komplex formulierte, dem Rechtsanwender nicht unmittelbar einleuchtende DSGVO, soweit sie der Nutzung von ChatGPT entgegensteht, Ausdruck einer weltfremden Überregulierung? Ein Lehrbuch der Rechtstheorie formuliert dazu treffend: „Die Kompliziertheit des Rechts ist ein Spiegel der Komplexität der Gesellschaft des modernen Staates“. Diese Erkenntnis trägt aber noch nicht zur Einhaltung komplizierter Gesetze bzw. zur Erhöhung der Entdeckungswahrscheinlichkeit von Verstößen (und damit zur flächendeckenden Sanktionierung) bei. Überschätzt der (europäische) Gesetzgeber den Schaden in Form einer „Persönlichkeitsverletzung“, der aus einer Datenschutzverletzung resultieren kann? Die meisten Urteile hierzu haben bislang die Frage aufgeworfen, ob schon die „nur entfernte Möglichkeit“ einer Rufschädigung oder eines Identitätsdiebstahls einen immateriellen Schadensersatz in Geld rechtfertigt. Wird hier ganz am Ende der Argumentationskette – beim Schaden – „nachreguliert“, was aufgrund einer Bagatelle eigentlich schon kein Datenschutzverstoß hätte sein dürfen? Oder ist die DSGVO eine legitime staatliche und langfristig angelegte Erziehungsmaßnahme, damit endlich alle Bürger den Wert personenbezogener Daten begreifen, den sie sonst nicht begriffen hätten? Jede neue App, jede neue Plattform, jeder neue SaaS-Anbieter fordert aufs Neue Antworten auf diese Fragen ein. Gleichwohl ist – aus politischen Gründen – sehr unwahrscheinlich, dass der europäische Gesetzgeber in den nächsten Jahren oder Jahrzehnten die DSGVO noch einmal „anfasst“. Wahrscheinlicher ist, dass die gebetsmühlenartigen politischen Lobpreisungen der DSGVO andauern. Das Orakel von Brüssel hat gesprochen, der Rest ist „Auslegungssache“.