Creditreform Magazin

ChatGPT: Helfer mit Risiken und Nebenwirkungen

In der Schule heißt es: Wer abschreibt, täuscht. Das gilt ebenso für die Nutzung von ChatGPT. Auch im geschäftlichen Alltag ist die der Einsatz von Künstlicher Intelligenz nicht immer rechtmäßig. Vor allem wenn, es um den Datenschutz geht.

Die Sache ist verlockend. Für Mitarbeitende im Marketing, die Ideen für einen Blogartikel suchen, ebenso wie für die Personalabteilung, die Arbeitsverträge formulieren muss. Oder auch für den Kundensupport, der möglichst passgenau auf Anfragen antworten möchte. Sie alle würden sich über einen Helfer freuen, der sie bei der Erledigung ihrer Aufgaben unterstützt. Schnell, zuverlässig und in hoher Qualität. Solche Unterstützung gibt es seit November 2022. Da veröffentlichte das US-amerikanische Unternehmen Open AI den Chatbot ChatGPT. Die Idee dahinter: unter Einsatz Künstlicher Intelligenz unterschiedlichste Fragen zu beantworten. Inzwischen arbeiten weltweit mehr als 100 Millionen Menschen mit diesem Chatbot.

ChatGPT ist ein selbstlernendes System, das umso bessere Ergebnisse liefert, je gezielter man es trainiert. Und das nicht nur mit im Internet frei zugänglichen Texten, sondern auch mit den Eingaben seiner Nutzer. „Für Unternehmen beginnt hier jedoch ein datenschutzrechtliches Problem. Denn es kann nicht ausgeschlossen werden, dass ChatGPT in diesem Fall auch persönliche oder sensible Unternehmensinformationen verarbeitet“, betont Mariusz Bucki, Head of Data Protection Services bei der Creditreform Compliance Services GmbH. Allerdings: Entsprechende Beschwerden oder gar Ermittlungen gegen Unternehmen, die ChatGPT verwenden, sind derzeit nicht bekannt. „Die meisten Unternehmen haben das Thema noch nicht auf dem Radar. Viele werden möglicherweise erst reagieren, wenn ein Schaden zu beklagen ist – etwa, wenn böswillige Hacker sich von ChatGPT wertvolle Informationen zur Analyse eines Angriffsziels haben mitteilen lassen“, sagt Bucki.

Konflikt mit der DSGVO

Gemäß der Datenschutz-Grundverordnung (DSGVO) ist die Verarbeitung personenbezogener Daten unter anderem rechtmäßig, wenn die betroffenen Personen dazu ihre Einwilligung geben. Das setzt voraus, dass die Betroffenen sowohl über die Datenverarbeitung als auch ihre Auswirkungen transparent informiert werden. Für Datenschutz-Experte Bucki ist das keine praktikable Lösung. „Die meisten Betroffenen würden ihre Zustimmung verweigern. Zudem ist eine Einwilligung jederzeit widerrufbar.“ Eine Möglichkeit, ChatGPT die Nutzung personenbezogener Daten für eigene Zwecke zu untersagen (zum Beispiel das Training), ist der Abschluss eines sogenannten Auftragsverarbeitungs-Vertrags (AV-Vertrag). In einer solchen Vereinbarung werden der Gegenstand, die Art und der Zweck der Verarbeitung personenbezogener Daten festgelegt. Problem: Einen AV-Vertrag erhält ein Unternehmen nur dann, wenn es eine IT-Dienstleistung einkauft. OpenAI-Großaktionär Microsoft stellt ChatGPT unter dem Produktnamen Copilot jedoch nur unter Bedingung als Dienstleistung bereit, dass mindestens 300 Lizenzen abgenommen werden.

Damit scheidet diese Lösung für kleine und mittelgroße Betriebe aus. Mariusz Bucki beobachtet jedoch, dass immer mehr IT-Spezialisten an den Start gehen, die bei Microsoft größere Lizenzpakete einkaufen und diese dann einzeln an interessierte Unternehmen veräußern. Dies hält er für einen möglichen Weg auch für Betriebe mit nur wenigen Mitarbeitenden. Wichtig ist nach Ansicht von IT-Experten, dass diese Dienstleister personenbezogene Daten aus Texten filtern und durch Pseudonyme ersetzen. Das heißt zum Beispiel: Aus Martin Müller wird Mickey Mouse, bevor seine Daten an ChatGPT gesendet werden. Auf dem „Rückweg“ wird Mickey Mouse wieder zu Martin Müller. So ist die Vertraulichkeit der Daten gewährleistet, denn nur der Auftraggeber kennt die wahre Identität. Was Unternehmen darüber hinaus tun können, um ChatGPT auch in Verbindung mit sensiblen Daten zu nutzen, erklärt Bucki im Interview.

„ChatGPT nicht zu nutzen, ist keine Lösung“

Mit Blick auf den Datenschutz scheint die Nutzung von ChatGPT voller Stolperfallen. Unter anderem deshalb hat Italien die Nutzung zwischenzeitlich untersagt. Heißt also die Schlussfolgerung für Unternehmen: Finger weg von ChatGPT?
Nein, das wäre nicht sinnvoll. ChatGPT hat unbestritten große Vorzüge, etwa bei der Recherche oder der Optimierung von Texten. Wer in Sachen Datenschutz auf Nummer sicher gehen will, sollte den Gebrauch von ChatGPT auf die Leistungen einer Suchmaschine beschränken.

Wie können Unternehmen ihre Beschäftigten für die mit ChatGPT verbundenen Risiken sensibilisieren?
Vor der Nutzungsfreigabe sollten sie eine kurze Schulung für Mitarbeitende durchführen. Hilfreich ist auch, in einem kurzen Leitfaden die wichtigsten Punkte festzuhalten. Also: Gebt keine personenbezogenen Daten ein, achtet darauf, dass in Dokumenten, die ihr hochladet, keine sensiblen Daten stecken, und stellt auch nicht zu viele unternehmensbezogene Daten ein.

Was unternimmt Creditreform Compliance Services, um Unternehmen für eine datenschutzkonforme Nutzung von ChatGPT zu unterstützen?
Leider unterschätzen viele Unternehmen die mit der Nutzung von ChatGPT verbundenen Risiken. Überall dort, wo wir als Datenschutzbeauftragter tätig sind, weisen wir die Mitarbeitenden auf die Problematik hin, geben Tipps oder die Beschäftigten sprechen uns auch aktiv an. Aber das ist bislang eher selten der Fall.


Quelle: Magazin "Creditreform"
Text: Stefan Weber
Bildnachweis: Laurence Dutton/ iStock