In Teil 1 unseres Artikels vom 01.08.2023 sind wir auf die potenziellen datenschutzrechtlichen Problemfelder beim Einsatz von ChatGPT eingegangen. Dazu gehören insbesondere
- Halluzination, also das Hinzufügen falscher Informationen zu einem Datenset durch die KI. Dies kollidiert mit dem Datenschutzgrundsatz der Richtigkeit.
- Fehlende Rechtsgrundlage für die Datenverarbeitung durch die KI. Hier kommt letztendlich nur das berechtigte Interesse des Verantwortlichen in Frage, ob dieses die Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, überwiegt, muss sorgfältig abgewogen werden.
- Transparente Information der Betroffenen darüber, wie ihre Daten verarbeitet werden. Dies kann insbesondere bei einer weit verbreiteten Nutzung von KI im Unternehmen schwierig sein, sofern für diese Nutzung keine klaren Regeln aufgestellt wurden.
Voraussetzungen für eine Vereinbarkeit von KI und Datenschutz im Unternehmen
Grundsätzlich besteht ein Konfliktpotenzial zwischen dem Datenschutzrecht und dem „Wesen“ von KI-Systemen – denn gerade auf der umfassenden Verarbeitung von (personenbezogenen) Daten beruht die vielbeschworene „Intelligenz“ der KI. Sollen KI-Systeme – hier am Beispiel ChatGPT – in Unternehmen eingesetzt werden, sollten insbesondere die folgenden Punkte beachtet und umgesetzt werden:
• Implementierung einer „KI-Richtlinie“, welche Regeln für die datenschutzkonforme Nutzung von KI-Anwendungen definiert. U.a. sollte Mitarbeitenden untersagt werden, personenbezogene Daten (wie bspw. Kundendaten, Mitarbeiterdaten) im Rahmen der Nutzung der KI-Anwendung preiszugeben. Unabhängig von Aspekten des Datenschutzes sollten Unternehmen bei der Nutzung von künstlichen Intelligenzen zudem kritisch hinterfragen, welche betrieblichen Informationen und Daten an die KI weitergegeben werden sollen oder dürfen – auch das Offenlegen von Geschäftsgeheimnissen kann zu erheblichem Schaden für Unternehmen führen. Es ist insbesondere zu prüfen, ob es nicht eine Zahlversion gibt, bei der datenschutzfreundliche Voreinstellungen umgesetzt werden können. So kann man z.B. in der Paid-Version von ChatGPT das Speichern von Daten unterbinden.
• Es empfiehlt sich im Einzelfall die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für den Einsatz von KI-Anwendungen wie ChatGPT. Werden die konkreten Risiken eines KI-Einsatzes sowie geeignete Abhilfemaßnahmen umfassend dokumentiert, lässt sich ein datenschutzkonformer Einsatz ggf. besser begründen.
• Es sollte eine entsprechende Auftragsverarbeitungsvereinbarung gem. Artikel 28 DSGVO inkl. der EU-Standardvertragsklauseln mit dem Anbieter abgeschlossen werden (s. https://openai.com/policies/data-processing-addendum, letzter Aufruf: 16.05.23), um die Beanstandungsrisiken hinsichtlich der Datenübermittlung in die USA zu mitigieren. Der Abschluss eines Auftragsverarbeitungsvertrags ist gem. Artikel 28 DSGVO zwingend erforderlich, sofern eine sog. Auftragsverarbeitung zwischen dem ChatGPT-nutzenden Unternehmen und OpenAI vorliegt. Zwar liegen Anhaltspunkte vor, welche die Annahme einer Auftragsverarbeitung strenggenommen ausschließen könnten, tattdessen wäre die Annahme einer sog. gemeinsamen Verantwortlichkeit begründet. Da seitens OpenAI jedoch die rechtlichen Rahmenbedingungen für die rechtskonforme Abbildung einer gemeinsamen Verantwortlichkeit (noch) nicht geschaffen wurden, sollte unbedingt ein Auftragsverarbeitungsvertrag abgeschlossen werden. Der Abschluss eines solchen bietetinsbesondere die Möglichkeit, die erforderlichen Schutzmaßnahmen für Datenübermittlungen in die USA zu treffen.
• Den Mitarbeitenden sollten entsprechende Datenschutzhinweise betreffend deren Nutzung von ChatGPT zur Verfügung gestellt werden.
• Die aktuellen Entwicklungen rund um die Thematik der datenschutzrechtlichen Zulässigkeit sollten fortlaufend im Auge behalten werden, um ggf. schnell reagieren zu können.
Sollten Sie bei der Schaffung geeigneter Voraussetzungen für den Einsatz von KI in Ihrem Unternehmen Unterstützung benötigen, bieten wir diese gerne an – bitte wenden Sie sich einfach an support@v-formation.de.