Die KI-Software ChatGPT von Open AI ist derzeit in aller Munde. Was jedoch bedeutet die Technologie für Unternehmen? Wir beleuchten die datenschutzrechtlichen Risiken, die sich aus der Anwendung des Tools aus betrieblicher Sicht ergeben.
INHALTE

Der Beitrag wurde verfasst von unseren Experten Dr. Florian Scheriau und Sebastian Barg.

ChatGPT, kurz für "Chat Generative Pre-trained Transformer", ist ein auf künstlicher Intelligenz (KI) basierendess Textverarbeitungstool, das nicht nur Texte zusammenfassen oder übersetzen kann, sondern auch Arbeitsanweisungen auf Basis grundlegender Informationen befolgt. Anhand von wenigen Nutzervorgaben ist es so möglich, beispielsweise Aufsätze oder Nachrichten zu verfassen oder auch Prognosen zu treffen oder Rätsel zu lösen. Dieser selbstoptimierende KI-Chatbot basiert auf einem großen Sprachmodell mit textbasierten Daten aus ca. acht Millionen Webseiten und zusätzlichen Daten. Die Anwendung des Tools ist einfach. Der Nutzer kann einem Chatfeld Fragen stellen oder Anweisungen geben. ChatGPT antwortet dann auf Basis seines Trainings in einem Dialogformat. So sind auch Rückfragen möglich, wenn die Antwort des Chatbots noch klargestellt oder konkretisiert werden soll. ChatGPT hat grundsätzlich das Potenzial, viele Prozesse zu automatisieren und die Interaktion zwischen Bot und Mensch zu vereinfachen. Dies ist auch der Grund, weshalb ChatGPT inzwischen bereits über 100 Millionen aktive Nutzer verfügt.

Da Unternehmen vermehrt nach Möglichkeiten suchen, Services zu verbessern und die Kommunikation zu vereinfachen, ist zukünftig auch mit größerem Interesse an Chatbots mit KI zu rechnen.

Rechtsverletzungen nur schwer zu ermitteln

ChatGPT ist in diesem Zusammenhang zwar eine durchaus vielversprechende und spannende Technologie, jedoch birgt sie auch Risiken - besonders dann, wenn sie in Unternehmen eingesetzt werden soll. Die folgenden Punkte sind aus datenschutzrechtlicher Sicht kritisch:

Alle Server der Technologie befinden sich derzeit in den USA. Angesichts der allgemeinen rechtlichen Problematik bei Datentransfers in die USA ist daher auch die Nutzung von ChatGPT datenschutzrechtlich bedenklich. Dieser Umstand sollte genauer betrachtet werden vor dem Hintergrund, dass Microsoft angekündigt hat, das Tool im Rahmen seines Cloud-Services Azure und in den Office-Paketen verfügbar zu machen. Diese Verfügbarkeit könnte dazu führen, dass auch Unternehmen vermehrt das Tool nutzen werden. Dabei ist fraglich, in welcher Art und Weise die zahlreichen Daten der Nutzer verarbeitet werden. Es dürfte mit Schwierigkeiten verbunden sein, diese Datenverarbeitung nachzuvollziehen.

Die Verletzung individueller Rechte ist mangels ausreichender Transparenz schwer zu ermitteln. Aus demselben Grund ist der Einsatz von Datenschutz-Folgenabschätzung, Privacy by Design und Default problematisch. Auch die Herstellung der nötigen Informationslage nach Artikel 12 ff. DSGVO ist nur schwer umsetzbar. Unter anderem existiert kein Weg zur Inanspruchnahme des Betroffenenrechts „Recht auf Löschung“ gemäß Artikel 17 DSGVO. Das heißt: Es besteht keine Möglichkeit, Open AI eine Anfrage auf Löschung zu stellen.

System anfällig für Manipulationen

Ein weiteres Problem sind veraltete Daten und ein manipulationsanfälliges System. Die Trainingsdaten stammen aus dem Jahr 2021. Folglich sind die Ergebnisse ggf. veraltet und falsch. Zudem kann nicht nachvollzogen werden, welche Datenquellen ChatGPT einbezogen hat und ob von jeder Quelle eine Einwilligung zur Datenverarbeitung eingeholt wurde.

Zusammenfassend lässt sich feststellen, dass ChatGPT (noch) nicht für den Einsatz in Unternehmen geeignet ist. Die aktuelle Gesetzeslage in Europa ist auf die Anwendung derartiger Tools noch nicht ausreichend vorbereitet.

Ausblick

Eine Erleichterung des Datentransfers in die USA ist ab März 2023 in Sicht: US-Präsident Joe Biden unterzeichnete am 7. Oktober 2022 ein Dekret zur Vorbereitung des Abschlusses eines Datenschutzabkommens zwischen den USA und der EU. Auf EU-Ebene kann nun das Verfahren für einen Angemessenheitsbeschluss starten, der die USA wieder zum "sicheren Drittland" erklären kann.

Die EU-Kommission hat im April 2021 ihren Entwurf der so genannten KI-Verordnung veröffentlicht. Dieser sieht unter anderem eine Kategorisierung der KI-Systeme nach Risikograd sowie datenschutzrechtliche Anforderungen bei dem „Anlernen“ der KI-Systeme vor. Das Ziel ist nicht nur, Europa zu einem globalen Zentrum für vertrauenswürdige KI zu machen, sondern auch den Spagat zwischen der Stärkung der Wirtschaft bei der Nutzung von KI sowie der Förderung der Entwicklung der KI und dem Schutz der Grund- und Bürgerrechte zu bewältigen. Die Verordnung soll voraussichtlich noch in diesem Jahr in Kraft treten.

Sie haben Fragen oder Handlungsbedarf? Wir unterstützen Sie gerne in allen Angelegenheiten rund um das Thema Datenschutz – Sprechen Sie uns an!