Rechtliche Herausforderungen beim Einsatz von ChatGPT & Co.

//

Liebe Leser und Datenschutz-Interessierte,

wir möchten Sie heute – aus dem Blickwinkel eines externen Datenschutzbeauftragten – über ein aktuell heiß diskutiertes Thema informieren. Die Rede ist von dem Einsatz von künstlicher Intelligenz (KI) und entsprechenden Tools wie ChatGPT & Co.

Künstliche Intelligenz bietet vielfältige Einsatzmöglichkeiten, vom Generieren von Texten mit Hilfe von ChatGPT, über Video- und Bilderstellung bis hin zur automatisierten Auswertung von Unternehmensdaten. Mit den unterschiedlichen Tools ist vieles möglich. Allerdings ist die Nutzung nicht immer rechtlich zulässig und birgt Risiken, die es zu beachten gilt.

I. Wann muss ich das Datenschutzrecht beim Einsatz von ChatGPT im Unternehmen beachten?

Für uns als externe Datenschutzbeauftragte und für Unternehmen ist in erster Linie das Datenschutzrecht das Fundament der Beurteilung. Hierfür ist es von großer Bedeutung, ob mit Hilfe der KI und entsprechender Tools „personenbezogene“ oder „personenbeziehbare“ Daten verarbeitet werden. Dies ist beispielsweise der Fall, wenn Sie Schriftstücke mit Angaben zu Personen (z.B. Arbeitszeugnisse, Kündigungen ) oder Personenbildnisse in die KI einspeisen, Sie die KI über eine Schnittstelle mit Ihrem E-Mail-Programm verknüpfen oder sonstige Auswertungen (z.B. von Kunden oder Beschäftigten) durchführen.

Für die Anwendung des Datenschutzrechts reicht es bereits aus, wenn Ihre Mitarbeiter entsprechende Tools mit ihren personenbezogenen Daten nutzen und hierfür einen entsprechenden Account anlegen (z.B. Max.Meier@unternehmen.de). ChatGPT im HR-Bereich ist hierbei von besonderer Brisanz.

Nicht datenschutzrechtlich relevant sind hingegen Nutzungen, bei denen keine personenbezogenen Daten verarbeitet werden. Bspw., wenn Sie sich Codes, Fotos, Videos, textliche Beschreibungen (z.B. rein werblich-beschreibende Marketing-Texte) oder Hilfestellungen zu technischen Problemen durch die KI generieren lassen. Hierbei lauern zumindest aus datenschutzrechtlicher Sicht keine Risiken (dazu sogleich mehr).

II. Welche datenschutzrechtlichen Probleme existieren beim Einsatz von KI?

Sollen allerdings auch personenbezogene Daten mit Hilfe von KI-Tools verarbeitet / genutzt werden, so ist das Datenschutzrecht in seiner gesamten Breite zu beachten und birgt Haftungs- und Bußgeldrisiken für Unternehmen. Warum ist das so? Ohne Sie nun mit langen rechtlichen Ausführungen zu langweilen: Beim Einsatz von KI-Tools, wie bspw. ChatGPT, lassen sich zahlreiche datenschutzrechtliche Pflichten leider gar nicht oder nur unzureichend erfüllen. Ein Beispiel hierfür sind etwa die Betroffenenrechte auf Information (Art. 13/14 DSGVO) und Auskunft (Art. 15 DSGVO) über die Datenverarbeitung. Mangels Transparenz solcher KI-Tools hinsichtlich Nutzung, Zwecke, Speicherdauer etc., kann hier der Verantwortliche über nicht allzu viel informieren/beauskunften, obwohl er dies eigentlich müsste.

So enthalten z.B. auch die Terms and Conditions (AGB) von ChatGPT lediglich den Hinweis, dass die eingegebenen Angaben zu eigenen Zwecken weiter genutzt werden, um die Dienste zu verbessern, ohne dabei jedoch konkret und transparent zu werden. Aber auch viele weitere Datenschutzprobleme lassen sich nicht einfach lösen, wie etwa die Frage nach der datenschutzrechtlichen Verantwortlichkeit (Art. 24 DSGVO) für die Datenverarbeitung oder die Frage nach der Rechtsgrundlage und Zulässigkeit, auch hinsichtlich der häufig verbundenen und risikobehafteten Übermittlung der eingegeben Daten in unsichere Drittstaaten (z.B. USA).

III. Zwischenfazit – Ist ChatGPT & Co. datenschutzrechtlich problematisch?

Das bedeutet, dass die Nutzung in KI-Tools wie ChatGPT & Co. mit personenbezogenen Daten mit kaum reduzierbaren datenschutzrechtlichen Risiken behaftet ist; ein rechtskonformer Einsatz ist aktuell – etwa mangels Umsetzbarkeit der Betroffenenrechte wie Löschung und Auskunft – kaum vorstellbar. Beim Einsatz von KI-Tools ist gerade im HR-Bereich, da es hier häufig zu Streitigkeiten und Auseinandersetzungen kommen kann, besondere Vorsicht geboten.

IV. Weitere rechtliche Probleme und Herausforderungen von ChatGPT & Co.

Auch aus anderen Bereichen können rechtliche Risiken drohen. So sind bei der Eingabe von entsprechenden Angaben oder bei der Nutzung von Ergebnissen der KI zahlreiche urheber- und lizenzrechtliche Fragen noch ungeklärt. Vergleichbares gilt für Fragen zum Arbeitsrecht und zu arbeitsrechtlichen Pflichten (z.B. Schutzpflichten des Arbeitgebers ggü. den Beschäftigten) bei der Nutzung von KI-Tools, ebenso wie für Mitbestimmungsrechte des Betriebs-/Personalrats.

Ganz besonders relevant ist die Nutzung allerdings aus Sicht des Betriebs- und Geheimnisschutzes unter Berücksichtigung des Gesetzes zum Schutz von Betriebs- und Geschäftsgeheimnissen (GeschGehG). So können durch die Nutzung einerseits eigene Betriebs- und Geschäftsgeheimnisse durch die die KI nutzenden Beschäftigten preisgegeben werden. Dies ist bspw. bei Samsung passiert. Hier haben Beschäftigten u.a. streng geheime Unternehmensinformationen wie Programmcodes eines neuen Programms an ChatGPT geschickt (vgl. Datenleck bei Samsung: Ingenieure schicken vertrauliche Daten an ChatGPT (t3n.de)). Hierdurch kann die preisgegebene Information – mangels ergriffener Schutzmaßnahmen – den gesetzlichen Schutz verlieren und für andere nutzbar werden; ein Super-Gau!

Andererseits besteht aber auch die Gefahr, dass fremde Betriebs- und Geschäftsgeheimnisse preisgegeben werden, z.B. im Rahmen der KI-Auswertungen vertraglicher Korrespondenz, und Sie sich hier ggf. schadenersatzpflichtig machen und gegen sog. NDA (Non Disclosure Agreement) mit Ihren Vertragspartnern verstoßen können.

V. Welche Empfehlungen gibt es für den Einsatz von KI-Tools und ChatGPT im Unternehmen?

Sofern Sie den Einsatz von KI-Tools in Ihrem Unternehmen planen, so sollte – neben einer eingehenden Prüfung des jeweiligen Tools, u.a. durch den externen Datenschutzbeauftragten – auf die Verwendung von personenbezogenen Daten unbedingt verzichtet und die näheren Verhaltensregeln (Do’s and Dont’s) für Ihre Beschäftigten in einer Richtlinie / Arbeitsanweisung schriftlich festgehalten werden. Auch eine vorherige Schulung/Unterweisung der Beschäftigten zum rechtskonformen Umgang mit KI-Tools und zu den Risiken – die wir als DSB für unsere Mandanten durchführen – kann sehr sinnvoll zur Risikoreduzierung sein.

Auch die Einführung von Kontrollmechanismen i.S.e. Qualitätsmanagements, etwa wenn KI-generierte Marketing-Texte im Namen des Unternehmens veröffentlicht werden sollen, ist sinnvoll, vor allem, weil die durch KI generierten Texte nicht immer korrekt sind.

VI. Zukünftige Entwicklungen von ChatGPT und KI

Die Tragweite der jeweiligen rechtlichen Probleme wird sich erst in der Zukunft genau zeigen. Es gibt aktuell aber schon erste Tools auf der „guten Seite der Macht“ wie etwa „nele.ai“, die einen rechtssicheren Einsatz von künstlicher Intelligenz möglich machen sollen, etwa durch vorherige Anonymisierung eingegebener Prompts und der Zwischenspeicherung von Daten auf EU-Servern. Diese Tools werden wir uns in naher Zukunft einmal näher für Sie ansehen.

Darüber hinaus arbeitet auch der EU-Gesetzgeber derzeit an einer KI-Verordnung; das ist ebenfalls eine Chance einen geeigneten Rahmen für den rechtskonformen Einsatz entsprechender Technologien zu schaffen und Rechtsunsicherheiten für die Unternehmen, zumindest teilweise, zu beseitigen. Wir halten Sie über die weiteren Entwicklungen auf dem Laufenden.

Sollten Sie in Ihrem Unternehmen Tools/Programme mit künstlicher Intelligenz alla ChatGPT & Co. einsetzen, so sprechen Sie uns gerne an, um den Einsatz rechtskonform und haftungsreduzierend auszugestalten.

Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy

Ps: Dieser Text wurde gänzlich ohne die Hilfe von ChatGPT & Co. verfasst! 😊

Wir beraten Sie gern

Sie haben Fragen zu unseren Leistungen oder benötigen eine persönliche und vertrauensvolle Beratung?
Nehmen Sie gerne mit uns Kontakt auf.

GDPC - Kevin Marschall und Stephan Blazy

Datenschutz ist einfacher mit den richtigen Weggefährten – kommen Sie gerne auf uns zu.

GDPC - externer Datenschutzbeauftragter

GDPC GbR
Dr. Kevin Marschall / Stephan Blazy
Ludwig-Erhard-Str. 12
34131 Kassel