Künstliche Intelligenz (KI) spielt in unserem privaten und beruflichen Alltag schon längst eine Rolle, z.B. in Form von Alexa, Siri, FaceID und jetzt auch ChatGPT. Generative künstliche Intelligenz ist gerade hip und im Trend. Das wohl bekannteste Beispiel ist ChatGPT (Chatbot as a Generative Pretrained Transformer), also ein künstlich intelligenter Chatbot. Er wurde von OpenAI, einem amerikanischen Unternehmen, entwickelt und wird von Microsoft unterstützt.
ChatGPT und andere generative KI sind eine erstaunliche technologische Innovation, die sich viele Unternehmen zunutze machen und sollten. Generative KI birgt viel Potenzial und auch viel Veränderungen. Durch KI können Arbeiten erleichtert werden und Lösungen für diverse Probleme lassen sich generieren und darstellen.
Sie birgt allerdings auch Risiken hinsichtlich Richtigkeit, Vertraulichkeit und Datenschutz. Bevor interne, vertrauliche oder streng vertrauliche Informationen in diese Systeme eingegeben werden, ist es erforderlich (interne) „Spielregeln“ aufzustellen und vor allem Vereinbarungen und Verträge mit den Dienstleistern und Anbietern abzuschließen.
Wie funktioniert ChatGPT?
ChatGPT kann Gedichte, journalistische Artikel, Computercodes, Stellenausschreibungen, prinzipiell alles, schreiben und verfassen. Es wird „generativ“ genannt, da es eine Art von künstlicher Intelligenz ist, die in der Lage ist, neue und originelle Daten wie Bilder und Texte zu erzeugen. Im Gegensatz zu Suchmaschinen. Suchmaschinen zeigen lediglich Links zu anderen Webseiten an, die potenzielle Antworten z.B. auf Fragen darstellen. Es obliegt dem Nutzer zu entscheiden, welche Antwort, die für ihn richtige und vertrauenswürdige ist. Suchmaschinen erstellen keine neuen Inhalte, sie durchsuchen lediglich das Internet. Generative KI dagegen erstellt neue Inhalte, statt sie nur zu durchsuchen. Das unterscheidet sie von Suchmaschinen.
Generative KI, wie z.B. ChatGPT, erstellt seine Ergebnisse als eine einzige Quelle, ohne dabei selbst ihre Quellen offenzulegen. Die generative KI basiert im Wesentlichen auf statistischen Wahrscheinlichkeiten. Die Grundidee ist auf der Grundlage eines Inputs, z.B. einer Nutzerfrage, einen Text zu erstellen, in dem es das zu dem Input wahrscheinlich am besten passende Wort findet. Dann sucht das Programm das zweite, das dritte usw. Wort, bis es genügend Text als Antwort generiert hat. Es wird also das wahrscheinlichste nächste Wort generiert, aber nicht notwendigerweise das einzig sachlich korrekte nächste Wort – es gibt also keine inhärente Überprüfung der Korrektheit. Marit Hansen, Landesbeauftrage für Datenschutz Schleswig-Holstein und Leiterin des Unabhängigen Landeszentrums für Datenschutz in Kiel (ULD), bezeichnete derartige Sprachmodelle passend als „stochastischen Papagei.[1]
Was Fragen betrifft, so kann die generative KI allgemeine Fragen zu diversen Themen beantworten, z.B. „Welche Inhalte muss ein Arbeitsvertrag zwingend enthalten?“. Sie kann jedoch keine ausführliche und/oder fachkundige Beratung geben. Es ist außerdem nicht klar, wie die Sprachmodelle der KI trainiert werden. Das birgt das Risiko, dass die Antworten, also die Ergebnisse verzerrt, diskriminierend oder auch beleidigend und ggf. auch nicht korrekt sind.
Verbot von ChatGPT in Italien
Die Italienische Datenschutzaufsichtsbehörde GPDP, Garante per la potenzione die dati personali, hat mit Bescheid vom 30.03.2023[2] und mit sofortiger Wirkung wegen Verstößen gegen die DSGVO und den Jugendschutz OpenAI vorläufig untersagt, personenbezogene Daten von Betroffenen in Italien über ChatGPT zu verarbeiten. Die GPDP beruft sich dabei auf Art. 58 Abs. 2 lit. f DSGVO, wonach es den Datenschutzaufsichtsbehörden erlaubt ist, bei Verstößen gegen die DSGVO die Datenverarbeitung vorübergehend einzuschränken.
Die GPDP nennt für das vorläufige Nutzungsverbot mehrere Gründe:
- Mangelnde Informationen
Die Betroffenen werden nicht ausreichend und angemessen über die Verarbeitungen ihrer personenbezogenen Daten informiert. ChatGPT informiert nicht darüber, welche personenbezogene Daten und zu welchem Zweck diese von ChatGPT gesammelt werden. Es sei eindeutig, so GPDP, dass personenbezogene Daten der Nutzer gespeichert werden, es ist aber unklar, was mit diesen Daten passiert und ob das Unternehmen diese ggf. weiterveräußere.
- Es gebe keine geeignete Rechtsgrundlage für die Erhebung personenbezogener Daten und deren Verarbeitung zum Zwecke des Trainings der dem Betrieb von ChatGPT zugrunde liegenden Algorithmen.
- Die Altersverifikation von ChatGPT sei unzureichend, da nur Nutzer, die über 13 Jahre alt seien, ChatGPT verwenden dürfen. Es besteht derzeit keine Kontrollmöglichkeit, mit der das Alter der Nutzer überprüft wird.
- Außerdem kann es dazu kommen, dass über ChatGPT falsche Informationen verbreitet werden. Die Antworten von ChatGPT seien nicht immer richtig, so dass das Gebot der Richtigkeit der Daten verletzt wird und bei manchen Antworten Dinge über Betroffene erfunden werden.
Nur knapp einen Monat später wurde die Sperre wieder aufgehoben, nachdem OpenAI auf sämtliche datenschutzrechtliche Forderungen der GPDP eingegangen war.
Folge des Verbots: Europäische Nutzer von ChatGPT können unter anderem nunmehr die Verarbeitung ihrer Daten zu KI-Trainingszwecken untersagen und ihre gespeicherten Eingaben beauskunften und löschen lassen.
Risiken für Vertraulichkeit und Datenschutz
Gemäß der Privacy Policy von ChatGPT werden alle in das System eingegebenen Daten von ChatGPT in den USA verarbeitet. Die Unternehmen können keine Vereinbarungen wie z.B. eine Auftragsverarbeitungsvereinbarung mit der Muttergesellschaft OpenAI abschließen. Die verantwortlichen Unternehmen können somit nicht garantieren, dass die eingegebenen Daten vertraulich, gesetzes- sowie datenschutzkonform verarbeitet werden. Generative KI-Modelle werden mit Sicherheit die eingegebenen Daten dazu nutzen, um ihre KI zu trainieren. Die USA verfügen außerdem über kein angemessenes Datenschutzniveau gemäß DSGVO. Es müssten daher mit den Dienstleistern bestimmte Sicherheitsvorkehrungen vereinbart werden, bevor (personenbezogene) Daten übermittelt werden dürfen.
Bei der Bewertung von Daten aus Datenschutzsicht, sind grundsätzlich zwei Datenarten zu berücksichtigen: die Trainingsdaten und die Betriebsdaten. Die Inhalts- und Nutzungsdaten werden durch den Programmbetrieb von den Nutzern eingegeben und durch die Nutzung generiert. Die Trainingsdaten sammelt die KI, zum einen mit öffentlich und frei zugänglichen Daten im Internet und zum anderen bei der Nutzung von ChatGPT durch den User. In beiden Fällen werden sicherlich nicht unerhebliche Datenmengen an personenbezogenen Daten gesammelt. Beide Datenarten werden aus unterschiedlichen Quellen erhoben und zu unterschiedlichen Zwecken verarbeitet.
Interessensabwägung
Für die Erhebung und Nutzung der im Internet frei zugänglichen Daten könnte Art. 6 Abs. 1 lit. f) DSGVO in Betracht kommen. Dies setzt allerdings eine Abwägung der einander gegenüberstehenden Rechte und Interessen voraus – eine Interessensabwägung. Es ist folglich eine dreistufige Prüfung durchzuführen, um zu ermitteln, ob die Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO erfüllt sind:
- Stufe: Vorliegen eines berechtigten Interesses des Verantwortlichen oder eines Dritten.
- Stufe: Erforderlichkeit der Datenverarbeitung zur Wahrung dieser Interessen.
- Stufe: Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall.
Rechtsgrundlage
Für die Nutzung von Betriebsdaten, welche beim Nutzer direkt erhoben werden, und zu Trainingszwecken verwendet werden sollen, könnte auf Art. 6 Abs. 1 lit. a) DSGVO, der Einwilligung durch die betroffene Person (Nutzer), gestützt werden.
Ungeachtet der Rechtsgrundlage ist die Verarbeitung der personenbezogenen Daten im Verzeichnis der Verarbeitungstätigkeiten zu erfassen und zu dokumentieren. Die Grundsätze der Verarbeitung (Art. 5 Abs. 1 DSGVO) nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit, Datenminimierung, Speicherbegrenzung sowie die Transparenzpflichten (Art. 12 ff. DSGVO) sind zu beachten wie auch die Betroffenenrechte sind zu gewährleiten. Des Weiteren wird sich i.d.R. eine Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 25 DSGVO ergeben.
Und in Deutschland?
Der Hessische Beauftragte für Deutschland und Informationsfreiheit[3] teilt, wie auch der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI)[4], mit, dass ChatGPT auf seine datenschutzrechtliche Konformität hin überprüft werden solle. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg informiert sich bei OpenAI, wie ChatGPT datenschutzrechtlich funktioniert und wirkt im Europäischen Datenschutz-Ausschuss (EDSA) auf ein einheitliches europäisches Vorgehen hin.[5] Der LfDI hat bereits in seinem Tätigkeitsbericht 2022 über Künstliche Intelligenz berichtet (Kap. 1.5 Zukunftsthemen annehmen).[6]
Fazit
ChatGPT kann trotz noch zu klärender (datenschutzrechtlicher) Anforderungen z.B. als Textgenerator verwendet werden, z.B. als Formulierungshilfe oder zur Strukturierung von Texten. Es sollte jedoch immer bedacht werden, dass ChatGPT keine Probleme lösen kann, teilweise „Märchen erfindet“ und Daten anderweitig und für weitere Zwecke genutzt werden.
Fragen? Schreiben Sie uns ein E-Mail oder rufen Sie uns an und wir vereinbaren einen Termin – unser Team steht Ihnen gerne zur Verfügung.
Kontakt: consulting@adorgasolutions.de
[1] https://www.golem.de/news/chatgpt-und-datenschutz-wenn-der-stochastische-papagei-sich-verplappert-2302-172227.html (zuletzt aufgerufen am 24.04.2023)
[2] https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9870832 (zuletzt abgerufen am 24.04.023)
[3] https://datenschutz.hessen.de/presse/hbdi-prueft-datenverarbeitung-der-anwendung-chatgpt (zuletzt aufgerufen am 24.04.2023)
[4] https://www.spiegel.de/netzwelt/netzpolitik/chatgpt-droht-auch-in-deutschland-datenschutzaerger-a-36d48232-0f0b-4d94-a953-c55c2603c15f?utm_source=dlvr.it&utm_medium=twitter (zuletzt aufgerufen am 24.04.2023)
[5] https://www.baden-wuerttemberg.datenschutz.de/lfdi-informiert-sich-bei-openai-wie-chatgpt-datenschutzrechtlich-funktioniert/ (zuletzt aufgerufen am 24.04.2023).
[6] https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2023/02/TB_38_Datenschutz-2022_V1-.pdf (zuletzt aufgerufen am 24.04.2023).