Wie Sie als Unternehmen Künstliche Intelligenz (KI) und insbesondere ChatGPT sinnvoll nutzen können und welche rechtlichen Aspekte Sie dabei beachten sollten, beantworten wir in unserem neuen Newsletter.
Was ist ein Chat-Bot?
Ein Chatbot ist eine Anwendung, die Künstliche Intelligenz verwendet, um sich mit Menschen zu unterhalten. Einer der derzeit bekannteste Chatbot ist ChatGPT. Dieser verwendet Künstliche Intelligenz, um mit Nutzern über textbasierte Nachrichten zu kommunizieren und kann bei der Eingabe von richtigen Aufforderungen im unternehmerischen Alltag scheinbar in jedem Themengebiet hilfreich sein.
Wer steckt hinter ChatGPT?
ChatGPT wurde von einem kalifornischen KI-Forschungsunternehmen OpenAI entwickelt. Gegründet wurde es u. A. Elon Musk und dem Programmierer und Investor Sam Altman. Seit 2019 kooperiert der Softwareriese Microsoft mit OpenAI.
Woher kommt das Wissen?
Als Wissensbasis verwendet ChatGPT große Mengen an Daten, die aus Millionen von Texten aus dem Internet, sozialen Medien, Online-Foren, Zeitungsartikeln und Büchern stammen. Jedoch ist der Wissensstand von ChatGPT nicht aktuell, sondern aus dem Jahre 2021. Somit kann es keine Fragen nach aktuellen Ereignissen beantworten. Außerdem sind zeitlich unbestimmte Themen nicht immer fehlerfrei. Teilweise erfindet ChatGPT Fakten, die nicht passiert sind. Daher sollten alle Texte von ChatGPT überprüft werden, bevor sie weiterverwendet werden können.
Wie kann man ChatGPT nutzen?
Jede registrierte Person kann ChatGPT nutzen. Nur einmalig muss ein Benutzerkonto mit einer E-Mail- Adresse, Namen und Telefonnummer eingegeben werden. Anschließend kann man den Dienst sofort nutzen und mit der Künstlichen Intelligenz kommunizieren.
ChatGPT ist ein sprach- und textbasierter Chatbot. Er kann beispielsweise komplizierte Sachverhalte einfach erklären, schwierige Programmieraufgabe übernehmen oder einen perfekt besetzten Dienstplan erstellen. Der Chatbot nutzt dabei moderne und maschinell erstellte Lerntechnologien, um Antworten zu generieren, die dabei natürlich klingen und für das Gespräch relevant sein sollen.
Außerdem beherrscht er mehrere Sprachen und zusätzlich erinnert er sich sogar an zuvor gestellte Fragen und bezieht diese Antworten auch mit ein. Deshalb eignet er sich vor allem für Dialog- Anwendungen, beispielsweise als Ideengeber oder Inspirationsquelle. Zukünftig könnten noch weitere Anwendungsbereiche, wie z. B. im Kundenservice, bei der Erstellung von Werbetexten folgen.
Was ist an KI problematisch?
Bei dem Einsatz von Künstlicher Intelligenz, wie beispielsweise ChatGPT in Unternehmen und der Arbeitswelt müssen vielfältige Probleme beachtet werden. Die größte Problematik liegt hier im datenschutzrechtlichen Bereich.
Der Hersteller von ChatGPT (OpenAI) besitzt keine Niederlassung in der EU. Somit sind alle europäischen Datenschutzaufsichtsbehörden für ihren jeweiligen örtlichen Zuständigkeitsbereich verantwortlich und müssen überprüfen, ob das Unternehmen die Anforderungen der DSGVO einhält.
Für die Weiterentwicklung von ChatGPT wertet die KI u. A. die Benutzereingaben von mittlerweile mehreren Millionen Privatpersonen und Unternehmen aus. Dabei kann nicht ausgeschlossen werden, dass dabei auch persönliche und sensible Informationen verarbeitet werden. Beispielsweise wie in Italien, wo eine Datenpanne des Programms zur Preisgabe von persönlichen Informationen in fremden Chats führte.
Je nach Fragen oder Aufgabenstellung gibt die nutzende Person unterschiedlich viele und teilweise äußerst sensible Informationen bekannt. Derzeit ist es unklar, zu welchen Zwecken die eingegeben Daten konkret verarbeitet und aus welchem Datenpool die Anfragen beantwortet werden.
Derzeit wird der Grundsatz der Transparenz nicht ausreichend erfüllt, denn bisher liegen keine Angaben über die Datenquellen und Informationen vor, dass Daten an Dritte mit kommerziellen Interessen weitergegeben werden. Außerdem muss der Anbieter Auskunft darüber geben, wie und zu welchem Zweck personenbezogene Daten verarbeitet werden. Auch angemessene technische und organisatorische Maßnahmen müssen getroffen und die Rechte der Betroffenen müssen ausreichend gewahrt werden können.
Auch bei dem Schutz von Kindern und Jugendlichen müssen einige datenschutzrechtliche Punkte beachtet werden, wie z.B. Überprüfung der Altersgrenze und das bei unter 16-jährigen außerdem eine Einwilligung des Erziehungsberechtigten eingeholt werden muss.
Häufige Einsatzgebiete und rechtliche Risiken
Nutzung von KI durch Mitarbeiter:
Wenn beispielsweise Mitarbeiter Ihres Unternehmens bereits ChatGPT nutzen und dadurch personenbezogene Daten von Kunden oder sonstigen Dritten bei ChatGPT einsetzen, ist es möglich, dass Open AI diese speichert und zum Weiterlernen nutzen. Jedoch besteht hierbei das Risiko, dass ChatGPT diese getätigten Angaben bei anderen Chats mit anderen Nutzern unbeabsichtigt preisgibt. OpenAI informiert sogar selbst darüber, dass die eingegebenen Daten eingesehen, auswertet und möglicherweise sogar zu eigenen kommerziellen Zwecken verwendet werden können.
Hierin liegt das größte datenschutzrechtliche Risiko. Denn selbst die bloße Eingabe von personenbezogenen Daten in den Chat kann als Datenschutzverstoß gewertet und mit einem Bußgeld geahndet werden, da das Unternehmen mit der Eingabe die Kontrolle über die personenbezogenen Daten verliert. Sollten diese Daten später in rechtswidriger Weise eingesetzt werden, kann es passieren, dass das Unternehmen hierfür dennoch haftet und sowohl Bußgelder entsprechend der DSGVO oder teure Abmahnungen möglich wären.
Unternehmensbezogenen Daten ohne personenbezogene Angaben können zwar theoretisch in das Künstliche-Intelligenz-Tool eingegeben werden, ohne dass dies vom Gesetzgeber sanktioniert wird, allerdings ist hier das Risiko zu beachten, dass sich OpenAI die Eigennutzung der Daten einräumt.
Spätestens wenn Sie z. B. Marketing- oder Analysedaten von Dritten (Kunden) in das Tool eingeben, kann dies illegal werden. Denn daraus resultiert das Risiko, dass Sie Ihren Kunden schaden oder deren Geschäftsgeheimnisse offenbaren.
Auch wenn Sie selbst ChatGPT noch nicht im Arbeitsalltag verwenden, ist es möglich, dass andere Mitarbeiter Ihres Unternehmens dieses Tool bereits für bestimmte Aufgaben oder Arbeitsabläufe verwenden, ohne dass Sie davon Kenntnis haben.
Unternehmen sollten daher ihre Mitarbeiter dazu anhalten, personenbezogene Daten oder sonstige sensible Informationen nicht in KI-Tools, wie z.B. bei ChatGPT einzugeben. Diese Regelung sollte schriftlich geregelt und kann entweder direkt im Arbeitsvertrag oder über ein separates Dokument vereinbart werden, damit Sie ihrer datenschutzrechtlichen Nachweispflicht ausreichend nachkommen können.
Einsatz von KI innerhalb der Personalabteilung:
Bei der Optimierung im Bereich der Personalabteilung kann zwar ChatGPT auch unterstützen, wie beispielsweise beim Schreiben von Stellenausschreibungen bzw. Mailvorlagen. Zu beachten ist aber, dass gerade in diesem Bereich mehrfach täglich mit sehr sensiblen Daten von Mitarbeitern bzw. Bewerbern gearbeitet wird, z. B. bei Gesundheitsdaten, Religionszugehörigkeit. Bitte beachten Sie daher unbedingt, dass solche Daten auf keinen Fall im ChatGPT landen sollten. Ebenso sollte beispielsweise die Auswahl von Bewerbern oder die Erstellung der Arbeitszeugnisse und weiterer wichtiger Dokumente bzw. Prozesse einer Personalabteilung nicht durch die KI übernommen werden. Denn: Der betroffenen Person steht gemäß Art. 22 DSGVO das Recht zu, keinem Profiling bzw. einer ausschließlich automatisierten Verarbeitung unterworfen zu werden. Sollten Sie dennoch auf KI in diesem Bereich zurückgreifen wollen, muss für die Verarbeitungstätigkeiten eine Datenschutzfolgeabschätzung erstellt werden, da eine solche automatisierte Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. Außerdem könnten hier schnell noch weitere datenschutzrechtliche Fallen lauern.
Datenanalyse & -management:
Als Unternehmen wollen Sie ChatGPT verwenden, um Daten auszuwerten, zu analysieren usw., dann sollten Sie die Daten unbedingt im Vorfeld anonymisieren. Insbesondere bei beispielsweise Nutzerdaten ist ein solches Verfahren unerlässlich. Gleiches gilt für andere sensible unternehmensinterne Daten. Auch diese Daten sollten Sie in jedem Fall anonymisieren, bevor Sie diese in den Chatbot eingeben.
Aus datenschutzrechtlicher Sicht würden wir Ihnen jedoch eher dazu raten, solche Daten grundsätzlich nicht über den Chatbot auszuwerten, da das Fehlerpotential zum einen hoch ist und auch ein möglicherweise unvorsichtiges Arbeiten schnell zu datenschutzrechtlichen Verstößen führen kann.
IT-Systeme und Softwareentwicklung:
Wenn Sie als Unternehmen ChatGPT oder andere KI-Tools zur Optimierung und Entwicklung von Programmcodes verwenden, sollten Sie vorab kritisch überlegen, welche konkreten Inhalte in die Datenbank des Programms wandern. Es soll bereits vorgekommen sein, dass Mitarbeiter von großen IT-Firmen defekte Quellcodes eingegeben haben und somit unternehmensinterne Daten und Geschäftsgeheimnisse im Wissenspool der KI gelandet sind, welche dann anschließend innerhalb eines KI-Chats der Konkurrenz bekannt gegeben wurden. Für die verantwortlichen Mitarbeiter des betroffenen Unternehmens kann dies arbeitsrechtliche Konsequenzen nach sich ziehen und auch für das Unternehmen resultieren daraus schnell geschäftsschädigende Ergebnisse. Die Verwendung von ChatGPT sollte daher mit großer Vorsicht genutzt werden.
Veröffentlichung von Inhalten auf Webseiten:
Als Unternehmen sind Sie auch für die Veröffentlichung von Inhalten auf Ihrer Website verantwortlich. Dabei spielt es keine Rolle, ob die hochgeladenen Inhalte von einem Menschen oder von einer KI angefertigt wurden. Sollten Sie einen KI-generierten Content hochladen wollen, so sollten Sie vorher genau prüfen, wie die KI diesen Content erstellt hat. Denn auch für einen solchen Content, gelten die allgemeinen gesetzlichen Regelungen beispielsweise zum Urheberrecht, Datenschutz und Wettbewerbsrecht. Haftbar ist grundsätzlich derjenige, welcher die Inhalte veröffentlicht und somit gegen Gesetze verstoßen hat.
Wir empfehlen Ihnen deshalb, über den Einsatz von KI im eigenen Unternehmen nachzudenken und entsprechende Leitlinien hierfür zu entwickeln. Zusätzlich sollten Sie überprüfen, ob durch die Verwendung von KI in diesem Arbeitsbereich eine Anpassung der Datenschutzerklärung auf Ihrer Homepage nötig wird.
Urheberrecht:
ChatGPT selbst hat als Künstliche Intelligenz kein Recht auf geistiges Eigentum, da nur von Menschen erzeugte Inhalten urheberrechtlich geschützt werden können. Jedoch wurde die Wissensbasis mit echten Texten trainiert, so dass es möglich ist, dass Textbausteine als Plagiate angesehen werden könnten. Dies sollte vor Veröffentlichung überprüft und ggf. transparent angegeben werden, dass der Text mit Hilfe einer künstlichen Intelligenz erstellt wurde.
Sollten Sie Texte mit Hilfe von KI erstellen, so lässt sich beispielsweise OpenAI gewisse Rechte an den eingegebenen Werken einräumen, so dass Sie bei der Eingabe von Anfragen ChatGPT ein Nutzungsrecht gewähren. Das Unternehmen kann nur die Nutzung von Texten verhindern, in dem es eine Verwendung von Urheberrecht geschützte Texte untersagt.
Von KIs generierte Texte fallen nicht darunter, da nur von Menschen erzeugte Inhalte urheberrechtlich geschützt werden können.
Neue IT-Security-Risiken
Durch den technischen Fortschritt und den immer größeren Einsatz von KI, wird die Ausarbeitung von Angriffsmethoden, Erstellung von schadhaftem Code oder auch das Schreiben eines Verschlüsselungsskripts merklich vereinfacht. Dadurch werden derzeitig sichere Sicherheitssysteme und auch weitere Sicherheitsmaßnahmen, zukünftig auf die Probe gestellt bzw. sogar höchstwahrscheinlich überwältigt. Für Unternehmen bedeutet dies, dass neue Maßnahmen eingeführt oder die alten optimiert werden müssen.
Durch die kriminelle Ausnutzung von KI-Tools, allen voran ChatGPT, können zukünftig Unternehmen noch schneller bzw. unkomplizierter auf eventuellen Schwachstellen von Kriminellen analysiert werden. Durch die Zuhilfenahme eines Chatbots wird es somit für die Angreifer sehr viel einfacher gemacht an sensible Informationen zu gelangen, sei es über einen einzelnen Mitarbeitenden oder über die gesamte Unternehmensstruktur.
Immer öfter kommt es auch vor, dass sich Kriminelle als vertrauenswürdige Stellen wie beispielsweise Banken bzw. Behörden ausgeben, um noch authentischer zu wirken. Denn mittlerweile weisen die meisten dieser E-Mails keinerlei Merkmale auf, die auf einen Betrug schließen lassen. Auch der Absender von E-Mails kann sehr leicht herausgefunden werden, sodass nur geringe Änderungen nötig sind und somit Gefahr einer Verwechslung mit dem Originalabsender stark ansteigt.
Oftmals lassen sich Mitarbeiter meist nur von dem Inhalt einer E-Mail täuschen und schenken dem Absender oft nicht ausreichend Aufmerksamkeit. Aber genau auf dieses Merkmal müsste viel öfter geachtet werden, ob dieser Absender vertrauenswürdig erscheint oder nicht.
Unternehmen sollten daher diesen neuen, noch unscheinbaren, Herausforderungen ins Auge blicken und bereits implementierte Sicherheitsmaßnahmen auf Aktualität überprüfen und ggf. Verbesserungen vornehmen, denn das Thema KI wird sich schnell weiterentwickeln und Unternehmen vor Herausforderungen stellen.
Praxisbeispiel
Eine Schweizer Zeitung veröffentlichte erst kürzlich ein Beispiel: Eine Praktikantin bei einem mittelgroßen Unternehmen erhielt eine KI-generierte WhatsApp-Nachricht. In dieser teilte ihr ihre Chefin mit, dass sie einen Apple Gutscheinkarten im Wert von 2.500€ besorgen sollte. Die Praktikantin fiel auf diese betrügerische Masche rein und kaufte die Gutscheinkarten. Anschließend sendete sie die Bilder an die vermeintliche WhatsApp-Nummer der Chefin, welche jedoch einem Betrüger gehörte.
Fazit
Der Chatbot von OpenAI kann sowohl als Ideengeber, Nachschlagewerk oder Inspiration verwendet werden. Jedoch sollten Sie sich nicht blind auf die Antworten verlassen und diese in jedem Fall nochmals überprüfen, um möglichen Urheberrechts Verstößen vorzubeugen. Auch sollten Sie darauf verzichten personenbezogene als auch unternehmensinterne Daten einzugeben.
Wir empfehlen Ihnen daher folgende Handlungsempfehlungen zum Umgang mit ChatGPT:
Regeln Sie den Einsatz von KI im Arbeitsumfeld mit Ihren Mitarbeitern.
Etablieren Sie unternehmensinterne Leitlinien für die Arbeit mit KI-Tools wie ChatGPT, Bing und Co.
Schulen Sie Ihre Mitarbeiter auch in Bezug auf Ihre Informationssicherheit ausreichend, um beispielsweise Phishing-Angriffen bestmöglich vorzubeugen.
Sollten Sie innerhalb Ihres Unternehmens KI einsetzen:
Geben Sie keine personenbezogenen Daten, Daten Dritter oder geschäftsinterne sensible Daten in ChatGPT oder andere KI-Programme ein.
Überprüfen Sie jeden mit KI erstellten Content auf seine inhaltliche Richtigkeit, bevor Sie diesen weiterverwenden.
Passen Sie Ihre bestehenden datenschutzrechtlichen Dokumente an, wie z. B. Informationspflichten für Mitarbeiter und Bewerber, Datenschutzerklärung auf Ihrer Homepage.
Je nach Einsatzbereich der KI sollte eine Datenschutzfolgeabschätzung für die Verarbeitungstätigkeit erstellt werden.
Sollten Sie bei der Umsetzung Fragen haben oder Hilfe benötigen, stehen wir Ihnen gerne zur Verfügung.
Ihr Team der RKM Data GmbH