In diesem Blogbeitrag geht es um zwei Themen, die in der Praxis viel Beachtung finden. ChatGPT und die KI-Verordnung. Wir wollen an dieser Stelle anhand eines praktischen Beispiels aufzeigen, wie Chat GPT nach der KI-Verordnung klassifiziert werden kann. Unser Beispielszenario: Ein Unternehmen möchte ChatGPT seinen Beschäftigten zur Verfügung stellen und hat sich für die kostenpflichtige ChatGPT Team-Lizenz entschieden.
Wir gehen in diesem Blogbeitrag den gesamten Klassifizierungsprozess durch und zeigen dabei auch ganz konkret, wie man die Prüfung mithilfe unseres Managementtools DSN port (KI-Modul) vornehmen und dokumentieren könnte. Bei DSN port handelt es sich um eine Softwarelösung, die wir anbieten, um alle relevanten Punkte im Bereich Datenschutz (DSGVO) und Künstlicher Intelligenz (KI-Verordnung) zu dokumentieren. Die im Beispiel verwendeten Fragen helfen Ihnen bei einer Klassifizierung, auch wenn Sie DSN port nicht nutzen möchten.
Sollte das Thema KI-Verordnung für Sie ganz neu sein und sollten Sie 30 Minuten Zeit haben, lehnen Sie sich auch gerne zurück und schauen sich dieses Video an, in dem wir die „KI-Verordnung im Schnelldurchlauf“ erklären. Aber zurück zum Blogbeitrag. Unser Beitrag startet mit einigen Vorüberlegungen.
Vorabüberlegungen:
Was ist ChatGPT?
Die KI-Verordnung kennt zwei relevante Regelungsgegenstände: Einerseits KI-Modelle und andererseits KI-Systeme. Ohne an dieser Stelle zu tief eingestiegen zu wollen, handelt es sich bei ChatGPT um ein KI-System nach der KI-Verordnung. Die KI-Modelle, die dem KI-System ChatGPT zu Grunde liegen, sind z.B. GPT 4, GPT-4o mini, o1-pro.
Welche Rolle hat unser Beispielunternehmen?
Die KI-Verordnung kennt im Hinblick auf KI-Systeme vier verschiedene Rollen. Die beiden wichtigsten sind Anbieter und Betreiber von KI-Systemen. Daneben gibt es Händler und Einführer. Unser Beispielunternehmen wäre vorliegend Betreiber eines KI-Systems, denn es möchte ChatGPT zwar einsetzen, hat das KI-System aber nicht selbst entwickelt, handelt nicht damit und führt es auch nicht in die EU ein.
Wir haben also ein Zwischenergebnis. Unser Beispielunternehmen wäre Betreiber eines KI-Systems. Dieses Zwischenergebnis beeinflusst maßgeblich etwaige Pflichten nach der KI-Verordnung. Das werden wir nachfolgend genauer prüfen.
Was kann ChatGPT?
Die Antwort scheint schnell gegeben: ChatGPT ist ein KI-Chatbot, mit dem Nutzer mithilfe von Sprache und Texten interagieren können. Im Ergebnis erzeugt ChatGPT dann hauptsächlich Texte. Aber tatsächlich kann ChatGPT neben der Erzeugung von Textinhalten auch Bilder erzeugen. Diese Erkenntnis ist gleich für unsere Klassifizierung wichtig.
Dokumentation im Managementsystem
Für unser Managementsystem DSN port ist dieses Zwischenergebnis wichtig. Denn wir legen nach den Vorüberlegungen nun in dem Modul „Künstliche Intelligenz“ einen entsprechenden Eintrag in der Kachel „KI-Systeme“ an. Wir nennen diesen Eintrag „ChatGPT (Team Lizenz)“.
Wir beschreiben das KI-System dann in dem entsprechenden Formular…
… und klicken die Rolle (Betreiber) an.
Dies hat später Auswirkungen auf die weiteren Fragen, die uns gestellt werden.
Nun kann es mit der Klassifizierung losgehen:
- Verbotene KI-Praktiken ausschließen
Die KI-Verordnung kennt verschiedene verbotene Praktiken im KI-Bereich. Diese sind in Art. 5 KI-VO geregelt. Die entsprechende Regelung ist in der Verordnung allerdings ziemlich kompliziert beschrieben. Tatsächlich lässt sich die Prüfung aber auch vereinfachen, denn wenn man folgende Fragen mit „Nein“ beantworten kann, liegt keine verbotene KI-Praktik vor. In unserem Beispiel kommen wir recht schnell zu dem Ergebnis, dass die verbotenen KI-Praktiken ausgeschlossen werden können.
Vergleichen Sie einfach einmal den nachfolgenden Screenshot der entsprechenden Dokumentation in DSN port. Hätten Sie anders entschieden?
Wie man der Dokumentation entnehmen kann, hat sich unser Beispielunternehmen zum Einsatz von KI schon im Vorfeld einige Gedanken gemacht und eine KI-Richtlinie erlassen. Das ist vorliegend auch gut, denn bei ChatGPT handelt es sich um ein KI-System mit allgemeinem Verwendungszweck. Das bedeutet, dass damit viel möglich ist und auch verbotene KI-Praktiken nicht ganz ausgeschlossen werden können, sollte es jemand darauf anlegen. Einen Entwurf für eine KI-Richtlinie finden Sie übrigens auch in DSN port innerhalb der Kachel „Dokumente“.
- KI-Systeme für bestimmte Zwecke
Die KI-Verordnung regelt für bestimmte KI-Systeme bestimmte Transparenzpflichten. Dies ergibt sich aus Art. 50 KI-VO. Wir schauen wieder nicht in den komplizierten Gesetzestext, sondern machen in DSN port weiter. Da die Pflichten aus Art. 50 auch mit der Rolle zusammenhängen, die wir schon dokumentiert haben, bleiben nur drei von fünf Eingangsfragen übrig.
Wie würden Sie entscheiden?
Hier die Auflösung für unseren Beispielfall:
- Hochrisiko-KI-System oder nicht?
Nun beschäftigen wir uns mit einem zentralen Punkt der Klassifikation von KI-Systemen, nämlich mit der Frage, ob das KI-System hochriskant im Sinne von Art. 6 der KI-Verordnung ist oder nicht. Auch hierzu hält die KI-Verordnung wieder viel Text parat. Schaut man aber genauer hin, gibt es einige Eingangsfragen, die wichtig sind. Beantwortet man alle mit „nein“, liegt kein Hochrisiko-KI-System vor. Würde man eine der Eingangsfragen mit „ja“ beantworten, würde die Prüfung weitere Fragestufen umfassen.
In unserem Beispiel konnten wir im Hinblick auf Chat GPT kein Hochrisiko-KI-System identifizieren. Hilfreich war auch hier die KI-Richtlinie, die das Unternehmen bereits erlassen hat und die durchgeführte Schulungsmaßnahme. Beides haben wir unter „Begründung“ aufgenommen.
Wären wir an dieser Stelle doch zu dem Ergebnis gekommen, dass unser Beispielunternehmen Betreiber eines Hochrisiko-KI-Systems wäre, hätten wir in DSN port die entsprechenden Pflichtenkataloge auswählen können und die Einhaltung der Pflichten prüfen und dokumentieren müssen. In unserem Beispielfall bleibt uns die Erfüllung der Pflichten aber erspart, da kein Hochrisiko-KI-System vorliegt, was nun auch rechenschaftsfähig dokumentiert worden wäre.
- Allgemeine Pflichten
Neben der Prüfung der verbotenen KI-Praktiken, der Transparenzpflichten und der Klassifizierung spielen beim Einsatz von KI-Systemen noch weitere Fragen eine Rolle.
Spätestens wenn personenbezogene Daten als Eingaben verwendet werden dürfen, muss der Einsatz der KI auch datenschutzrechtlich überprüft worden sein. Davon unabhängig sollte man sich auch Gedanken darüber machen, ob in dem KI-System sensible Unternehmensinformationen eingegeben werden dürfen. Bei beiden Fragen spielen dann weitere Punkte eine Rolle, zum Beispiel die konkreten Verträge mit dem Anbieter des KI-Systems (hier OpenAI). Die entsprechende Prüfung geht dann über die KI-Verordnung hinaus, könnte aber im Modul Datenschutz von DSN port aufgenommen werden – dort zum Beispiel als Eintrag in der Kachel „Verzeichnis der Verarbeitungstätigkeiten“.
Zurück zu unserem Beispielfall:
In unserem Beispiel ist also alles in Ordnung. Das Unternehmen erfüllt auch insbesondere die Pflichten nach Art. 4 KI-VO, wonach Maßnahmen des Unternehmens zur Gewährleistung einer angemessenen KI-Kompetenz erforderlich sind. Wie dem entsprechenden Eintrag entnommen werden kann, hat sich das Unternehmen im Voraus schon viele Gedanken gemacht.
Die geforderte KI-Kompetenz der Mitarbeitenden hat das Beispielunternehmen mit dem entsprechenden DSN train eLearning „Grundkurs KI-Kompetenz“ hergestellt.
Im Hinblick auf die Darstellung des Schulungsstands und den Nachweis der durchgeführten Schulungen besteht sogar systemseitig eine enge Verzahnung unserer eLearning-Kurse und unserer Lernplattform DSN traincenter zum hier vorgestellten DSN port, da alles aus einer Hand kommt, aber auch unabhängig voneinander genutzt werden kann. Nun aber zurück zu unserem Beispielfall. Wir sind beim Ergebnis unseres Prüfprozesses angelangt.
Ergebnis
Da wir in der Prüfung nichts gefunden haben, was den vorgesehenen Einsatz von ChatGPT ausschließen würde, gehen insofern alle Ampeln auf „grün“.
Damit es niemand vergisst und weil das Unternehmen in unserem Beispiel zukünftig die Freigabe des Systems auch für personenbezogene Eingaben plant, haben wir am Ende noch eine Maßnahme angelegt, die in die Maßnahmenplanung und Überwachung des DSN port Managementsystems läuft. Die Übersicht sieht im DSN port Cockpit in diesem Fall wie folgt aus.
Wenn Sie bis hierhin gelesen haben, möchten wir uns bei Ihnen für Ihr Interesse bedanken. Rufen Sie uns auch gerne an und probieren Sie kostenlos einen Testzugang zu DSN port aus. Sie erhalten dadurch auch Zugriff auf den Entwurf unserer im Beitrag erwähnten KI-Richtlinie. Und wenn Sie uns anrufen oder schreiben und dabei auf diesen Blogbeitrag verweisen, legen wir Ihnen die hier dargestellten Einträge auf Wunsch auch gerne schon als Muster an und/oder geben Ihnen eine weitere Einführung in das System und seine umfangreichen Funktionen.