Plötzlich und für viele unerwartet war sie da: Die Online-Anwendung namens „ChatGPT“, die sich wie ein Lauffeuer verbreitete. So ziemlich jeder Mensch, der Nachrichten verfolgt, hat wohl mitbekommen, dass es dieses System gibt und was es kann oder aber auch nicht kann.
Viele haben es gleich getestet, denn die Software kann nach einer recht simplen, wenn auch nicht ganz datenschutzfreundlichen Anmeldeprozedur (mit zwingender Angabe von einer gültigen E-Mail-Adresse und Telefonnummer, wobei Trash-Mails und Trash-Telefonnummern weitgehend erkannt und aussortiert werden) von allen interessierten Personen genutzt werden, sofern das System nicht gerade mal wieder überlastet ist.
Was und wer steckt hinter „ChatGPT“ und was können dieses und ähnliche Systeme?
Für all denjenigen, die die aktuelle Entwicklung noch nicht oder nur am Rande verfolgt haben, hier eine Kurzzusammenfassung der wesentlichen Punkte dazu, was das System „ChatGPT“ ist und woher bzw. von wem es kommt:
„ChatGPT“ ist ein sogenannter Chatbot. Ein System also, das in der Lage ist, Dialoge mit Menschen (oder auch anderen Chatbots) zu führen. Das System wurde durch ein Unternehmen aus den USA namens OpenAI, L.L.C. (im Folgenden: OpenAI) entwickelt und beruht im Wesentlichen auf maschinellem Lernen. Das System wurde auf der Basis eines Sprachmodells mit der Bezeichnung GPT 3.5 entwickelt. Dabei steht die Abkürzung GPT für „Generative Pretrained Transformer“ (zu Deutsch: „vortrainierter generativer Transformer“).
Die Daten, mit denen das Modell GPT 3.5 trainiert wurde, stammen aus verschiedensten Quellen, so beispielsweise aus Webseiten, die automatisch ausgelesen wurden (beispielsweise Wikipedia), Büchern, Blogbeiträgen und anderem Textmaterial. Dabei ist das Modell mit dem Ziel trainiert worden, anhand von ausgerechneten Wahrscheinlichkeiten, Wörter so aneinander zu reihen, dass sie für die Person, die ihr eine Frage stellt oder einen Befehl gibt, eine möglichst sinnvolle Antwort bzw. Ausführung des jeweiligen Befehls generiert. Ein interessanter Artikel zur Sinnhaftigkeit oder Sinnlosigkeit der Antworten findet sich hier.
Nach Angaben des Handelsblatts wird das Unternehmen OpenAI aktuell mit 29 Milliarden Dollar bewertet, wobei die majoritäre Beteiligung an diesem Start-up zur Zeit mit ca. 49 Prozent beim Unternehmen Microsoft liegt. Die restlichen 51 Prozent teilen diverse andere Investoren unter sich auf.
Mittlerweile kommt in der neuen Version der Anwendung ChatGPT auch der GPT 3.5-Nachfolger GPT 4 zum Einsatz kommen, der nicht nur wie bisher mit Texten, sondern auch mit Bildern arbeiten kann (siehe auch den Bericht der Tagesschau).
Bisher können Nutzer*innen frei formulierte Anfragen oder konkrete Befehle in Textform an ChatGPT richten, die als sogenannte „Prompts“ bezeichnet werden. Per Prompt (Anfrage/Befehl) kann die Anwendung beispielsweise dazu aufgefordert werden, eine E-Mail zu einem bestimmten Thema vorzubereiten, eine Laudatio zu erstellen oder auch einen Softwarecode mit bestimmten Parametern in einer bestimmten Programmiersprache zu generieren.
Nach Angaben des Online-Magazins ingame.de sollen nach Schätzungen des Chefentwicklers von Assassin‘s Creed z.B. die Gamer in relativ naher Zukunft das Programmieren (auch ohne Programmierkenntnisse) mit Hilfe der Anwendungen, die auf maschinellem Lernen basieren, selbst übernehmen.
Auch das Schreiben von Nachrichtentexten ist bereits aktuell ein denkbarer Anwendungsbereich für die Anwendung ChatGPT, wobei nach Informationen des SPIEGEL der Chef des Axel-Springer-Verlags Döpfner bereits heute einen weitreichenden Konzernumbau planen soll, bei dem insbesondere die Redaktionen von »Bild« und »Welt« betroffen sein könnten. Er kündigt gar eine Revolution des Geschäfts durch die künstliche Intelligenz (KI) an. Im oben zitierten Artikel auf spiegel.de heißt es dazu:
„KI könne den Journalismus »unterstützen oder ersetzen«. Der Verlag müsse sich auf Kompetenzen wie das Recherchieren exklusiver Nachrichten oder »originelle Unterhaltung« konzentrieren. Die journalistische Produktion werde »zum Nebenprodukt, immer mehr technisch gestützt und automatisiert«.“
„ChatGPT“ und ähnliche Systeme in einem Unternehmen
So wie angeblich der Axel-Springer-Verlag überlegen bzw. planen auch andere Unternehmen sich das maschinelle Lernen und die KI zu Nutze zu machen und Anwendungen, die darauf basieren, auch geschäftlich einzusetzen.
Denkbar wäre der Einsatz von Systemen, die auf maschinellem Lernen basieren in nahezu allen Unternehmensbereichen und so insbesondere
- im Bereich Marketing zur Erstellung von Werbebotschaften oder zur Kommunikation mit und Ansprache von potenziellen Kunden,
- im Bereich (Kunden-)Support als Chatbot auf der Unternehmenswebseite,
- im Bereich Absatz zur Kundenfindung- und Bindung durch maschinelle betriebswirtschaftliche Auswertung,
- im Bereich Produktion durch vollautomatisierte Produktionsstraßen,
- im Bereich Personal zur Automatisierung von HR-Prozessen), etc.
Nutzt ein Unternehmen das maschinelle Lernen bzw. die künstliche Intelligenz und Systeme wie „ChatGPT“ und ähnliche Dienste im geschäftlichen Kontext, müssen bestimmte rechtliche Aspekte beachtet werden.
Wir möchten im Rahmen unseres heutigen Artikels nicht auf alle möglichen (rechtlichen) Aspekte eingehen, die zu beachten sind (dazu gehören insbesondere solche Bereiche wie das Urheberrecht, Schutz von Geschäftsgeheimnissen, arbeitsrechtliche oder gar schwerpunktmäßig strafrechtliche Problematiken), sondern beschäftigen uns nur mit wesentlichen Aspekten, die den Datenschutz, die Datensicherheit und damit zusammenhängende Themen betreffen.
Grundsätzliche Überlegungen zum Datenschutz bei „ChatGPT“ & Co.
Sofern ChatGPT und ähnliche Systeme in einem Unternehmen zum Einsatz kommen und dabei Daten in diese Systeme eingegeben werden, anhand derer eine natürliche Person identifiziert werden kann oder identifizierbar wird, werden personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) verarbeitet. Das bedeutet, dass Verantwortliche alle Pflichten, die aus der DSGVO resultieren, erfüllen müssen. Und dazu gehört insbesondere folgendes:
- Es wäre zunächst zu prüfen, auf welcher Rechtsgrundlage die Verarbeitung personenbezogener Daten in dem System erfolgen kann. Gegebenenfalls wäre eine Einwilligung der betroffenen Personen einzuholen, wenn die personenbezogenen Daten nur auf der Grundlage einer Einwilligung verarbeitet werden dürfen, da keine andere Rechtsgrundlage greift (beispielsweise überwiegendes berechtigtes Interesse des Verantwortlichen gemäß Art. 6 Abs. 1 lit. f DSGVO). Speziell im Beschäftigungsverhältnis ist es anspruchsvoll, eine Verarbeitung auf das berechtigte Interesse zu stützen. Die Verarbeitung muss zum einen zum Erreichen des mit dem berechtigten Interesse verfolgten Zwecks erforderlich sein, zum anderen müssen die berechtigten Interessen des Arbeitgebers die schutzwürdigen Interessen der Beschäftigten überwiegen. Bei der Beurteilung der Erforderlichkeit ist stets auch zu berücksichtigen, ob der beabsichtigte Verarbeitungszweck nicht auch auf einem anderen Weg, der gegebenenfalls einen geringeren Eingriff in die Rechte und Freiheiten der Beschäftigten nach sich zieht, erreicht werden könnte. Ist dies der Fall, scheidet der Rückgriff auf das berechtigte Interesse als Rechtsgrundlage aus.
- Da ein externer Dienstleister eingesetzt wird, wäre ein Abschluss eines Auftragsverarbeitungsvertrages (AV-Vertrag) mit dem Dienstleister (bei ChatGPT mit dem Unternehmen OpenAI entsprechend) erforderlich.
Zum aktuellen Zeitpunkt stellt das Unternehmen OpenAI einen AV-Vertrag nur auf Nachfrage Business-Kunden zur Verfügung, die Produkte von OpenAI über API nutzen. Dabei betont das Unternehmen, dass diese Vereinbarung ausdrücklich nicht für die an Konsumenten gerichteten Dienste wie „ChatGPT“ gilt. Damit kann der Dienst aus diesem Grund schon in der öffentlich zugänglichen Form nicht datenschutzkonform eingesetzt werden. Zudem ist auch nicht klar, ob der von OpenAI eingesetzte bzw. angebotene AV-Vertrag den Voraussetzungen des Art. 28 DSGVO entspricht. Dies müsste daher separat überprüft werden. - Und da OpenAI seinen Sitz in den USA und somit in einem Drittland hat, wären auch die üblichen Maßnahmen erforderlich bzw. Risiken vorhanden, wie sie aktuell bei allen Drittlandübermittlungen bestehen. Hierzu haben wir bereits häufiger berichtet, unter anderem hier.
- Gegebenenfalls müsste (eventuell neben einem AV-Vertrag) eine Vereinbarung gemäß Art. 26 DSGVO abgeschlossen werden, wenn der eingesetzte Dienstleister die an ihn übermittelten personenbezogenen Daten zu eigenen Zwecken verarbeitet, beispielsweise wenn er die personenbezogenen Daten zum Trainieren des jeweiligen Transformer-Modells nutzt. Aus den aktuellen AGB von OpenAI ergibt sich nämlich, dass das Unternehmen die Eingaben aus „ChatGPT“ (zumindest bei „Non-API-Content“) nutzt, um sein Sprachmodell zu verbessern.
Eine Vereinbarung gemäß Art. 26 DSGVO konnten wir für die Anwendung „ChatGPT“ in den rechtlichen Informationen des Anbieters OpenAI jedoch nicht finden. - Bezüglich der Sicherstellung der Datenschutz-Compliance und Verarbeitung der personenbezogenen Daten wird in den AGB von OpenAI Folgendes geregelt:
„If you use the Services to process personal data, you must provide legally adequate privacy notices and obtain necessary consents for the processing of such data, and you represent to us that you are processing such data in accordance with applicable law. If you will be using the OpenAI API for the processing of “personal data” as defined in the GDPR or “Personal Information” as defined in CCPA, please fill out this form to request to execute our Data Processing Addendum.“
Frei übersetzt heißt das so viel wie:
„Wenn Sie die Dienste nutzen, um personenbezogene Daten zu verarbeiten, müssen Sie rechtlich angemessene Datenschutzhinweise bereitstellen und die erforderlichen Zustimmungen für die Verarbeitung dieser Daten einholen, und Sie sichern uns zu, dass Sie diese Daten in Übereinstimmung mit dem geltenden Recht verarbeiten. Wenn Sie die OpenAI-API für die Verarbeitung von „personenbezogenen Daten“ gemäß der Definition in der DSGVO oder von „personenbezogenen Informationen“ gemäß der Definition in der CCPA verwenden, füllen Sie bitte dieses Formular aus, um die Ausführung unseres Datenverarbeitungszusatzes zu beantragen.“
Für die Verarbeitung personenbezogener Daten trägt also der Nutzer des Dienstes volle Verantwortung und hat die Datenschutz-Compliance sicherzustellen ggf. durch den Abschluss eines AV-Vertrages mit OpenAI. AV-Verträge von Kunden erkennt OpenAI nicht an.
- Die Informationspflichten gemäß der Artt. 12 ff. DSGVO sind zu erfüllen.
Das wird zumindest für die Anwendung „ChatGPT“ wohl nicht möglich sein, wenn es um die an die Konsumenten gerichtete Lösung geht. Diese ist für den geschäftlichen Einsatz nach der Intention von OpenAI nicht vorgesehen, denn ein AV-Vertrag wird, wie oben bereits ausgeführt, in diesem Fall nicht angeboten. Ob die Informationspflichten sich ausreichend erfüllen lassen, wenn man die Business-Produkte von OpenAI einsetzt, für die ein AV-Vertrag abgeschlossen werden kann, müsste im Einzelnen überprüft werden.
- Es wäre zudem zu prüfen, ob im Rahmen der Nutzung von Anwendungen, die auf maschinellem Lernen basieren, eine Form der Verarbeitung vorliegt die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Ist es der Fall – was bei solchen Anwendungen wie „ChatGPT“ sehr wahrscheinlich der Fall sein wird – so müsste der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchführen.
Die deutschen Aufsichtsbehörden stellen in ihren Positivlisten fest, dass „Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person“ (beispielsweise beim „Kundensupport mittels künstlicher Intelligenz“) die Durchführung einer DSFA erforderlich macht. - Die Beschäftigten müssten im Umgang mit dem jeweiligen System geschult werden und klare Anweisungen erhalten, welche Daten sie in das System eingeben oder welche Daten an das System weitergeleitet werden dürfen, wenn das System beispielsweise per API in die Datenverarbeitung eines Unternehmens eingebunden wird. Auch im Rahmen der Verarbeitung der Daten der Beschäftigten selbst wäre sicherzustellen, dass ihre Daten im Rahmen der Nutzung des System rechtskonform verarbeitet werden, wenn sie als Systembediener*innen tätig werden.
Neben allen oben genannten Punkten ist zu beachten, dass die besonderen Gefahren, die durch die Nutzung von ChatGPT durch kriminelle Strukturen entstehen, im Rahmen von Sensibilisierungsmaßnahmen (Datenschutzschulungen) besonders zu berücksichtigen sind.
Die oben genannten Punkte erheben darüber hinaus keinesfalls einen Anspruch auf Vollständigkeit. Es sind nur die wesentlichen Punkte, an die zu denken wäre und die zu (über-)prüfen wären, wenn Systeme, die auf maschinellem Lernen basieren, zum Einsatz kommen sollen. Dabei ist keinesfalls sicher, dass die Datenschutz-Compliance für solche Systeme überhaupt sicherzustellen ist, denn es gibt durchaus viele Probleme, bei denen es sehr fraglich ist, ob und wenn ja, wie sie sich lösen lassen. Das ist immer davon abhängig, welcher Dienstleister eingesetzt wird, wie die Datenverarbeitung jeweils organisiert ist und rechtlich gestaltet wird.
Fazit
Systeme, die auf maschinellem Lernen basieren, können in Unternehmen legitim und durchaus sinnvoll eingesetzt werden. Die Einführung solcher Systeme und insbesondere von „ChatGPT“ darf jedoch nicht „mal eben“ erfolgen und bedarf einer sorgfältigen Prüfung, inwiefern sich die gegebenenfalls bestehenden Compliance-Probleme lösen lassen. Denn insbesondere in Unternehmen, die mit sensiblen Daten betroffener Personen oder mit Daten schutzbedürftiger Personengruppen (beispielsweise Kinder, Patient*innen oder Menschen mit Behinderungen) zu tun haben, und dazu gehören unter anderem Unternehmen der Versicherungswirtschaft oder Unternehmen aus dem Gesundheitssektor sowie Schulen und Kindergärten, muss die Datenschutz-Compliance sichergestellt sein. Dies lässt sich in der aktuellen Situation und zum aktuellen Zeitpunkt zumindest mit der Anwendung „ChatGPT“, die sich an Konsumenten richtet, nach unserer Einschätzung insbesondere aufgrund der oben aufgezeigten Probleme nicht sicherstellen. Auch die Business-Angebote von OpenAI müssten auf ihre Datenschutzkonformität gründlich überprüft werden, bevor sie eingesetzt werden.
Auch ist zu beachten, dass wenn ein Unternehmen selbst keine Systeme wie „ChatGPT“ einsetzt, es in Anbetracht der bestehenden Risiken und Gefahren, die von solchen Systemen ausgehen, dafür sorgen muss, dass die Beschäftigten nicht auf raffinierte Chatbot-Attacken (gegebenenfalls) kombiniert mit Social-Engineering) hereinfallen. Über mögliche Angriffsszenarien berichten Online-Magazine wie it-business.de z.B. hier oder zdnet.de hier. Möglichen Angriffen, die mit Hilfe der KI-gestützten Systeme durchgeführt werden, kann nur durch entsprechende Sensibilisierungsmaßnahmen und Umsetzung wirksamer technischer und organisatorischer Maßnahmen begegnet werden.
Zudem ist zu beachten, dass der ganze Bereich der Nutzung von KI-Systemen weitgehend noch ungeregelt ist, jedoch in absehbarer Zeit auf europäischer Ebene geregelt sein wird. Daraus ergeben sich für die Verantwortlichen, die solche Systeme nutzen, Pflichten, die nicht nur aus der DSGVO, sondern zusätzlich aus der KI-Verordnung resultieren werden (auch und insbesondere bei Verarbeitung personenbezogener Daten), die aktuell im Entwurf bereits vorliegt (hierzu siehe unseren Artikel vom 07.04.2022).
______________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.