Der Einsatz von KI in der Rechtsberatung in Form von ChatGPT oder KI-gestützter Rechtschreibkorrekturfunktionen kann in Zukunft einen Teil der dortigen Arbeitsschritte beschleunigen. Dies gilt insbesondere für repetitive Arbeitsschritte.
Aber bei Einsatz der o. g. Anwendungen stellen sich datenschutz- und berufsrechtliche Fragen (z. B. das anwaltliche Berufsgeheimnis und der Schutz von Mandantendaten).
ChatGPT
Der auf juristische Literatur spezialisierte Haufe-Verlag hat sich der Frage der datenschutzrechtlichen Zulässigkeit des Einsatzes von ChatGPT im Bereich der anwaltlichen Tätigkeit angenommen (siehe Mitteilung).
Bei Chat GPT handelt es sich um einen Chatbot, welcher das maschinelle Lernen nutzt, um durch das Erkennen und Erlernen von Gesprächsmustern in der Lage zu sein, sinnvolle und wahrscheinlich passende Antworten zu erstellen, indem er anhand der Wortfolge abgleicht, welche Art von Antwort auf eine andere Wortfolge besonders häufig folgt. ChatGPT kann auf diese Weise auf die menschliche Sprache reagieren und damit die nachfolgend genannten Aufgaben erfüllen:
- Unterstützung bei der Beantwortung von Fragen und der Bereitstellung von Informationen zu verschiedenen Themen,
- Kundensupport und -service,
- Erstellung von Texten für verschiedene Anwendungen wie Übersetzungen und Zusammenfassungen,
- Unterstützung bei der Datenauswertung,
- Virtueller Assistent und
- Unterstützung bei der Erstellung von kreativen Inhalten (z. B. Gedichte und Geschichten).
Risiken bei der anwaltlichen Nutzung von ChatGPT
Jedoch kann die Nutzung von ChatGPT, im Zuge der anwaltlichen Tätigkeit, möglicherweise gegen das anwaltliche Berufsrecht verstoßen.
Denn gemäß § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) ist der Rechtsanwalt zur Verschwiegenheit verpflichtet. Ferner ist in § 43e BRAO geregelt, unter welchen Voraussetzungen Dritte in die anwaltliche Mandatsbearbeitung einbezogen werden dürfen. Kerngedanke dessen ist, dass der Mandant „Herr seiner Geheimnisse“ ist. Es obliegt diesem allein, welche personenbezogenen Daten er offenbaren möchte. Er bestimmt, ob Dritte von der Bearbeitung seines Mandats wissen dürfen oder nicht.
Für die Frage der rechtlichen Zulässigkeit ist es nun maßgeblich, wohin die personenbezogenen Daten gehen. Wenn die Daten unverschlüsselt auf fremde Server gelangen, ist die Verschwiegenheit gebrochen. Ferner würden fremde Server den Anwendungsbereich des § 43e BRAO eröffnen. Werden darüber hinaus zur Datenverarbeitung Server genutzt, die sich im Ausland befinden, wäre im Zusammenhang mit dem Erbringen der anwaltlichen Dienstleistung der Anwendungsbereich des § 43e Abs. 4 BRAO eröffnet. Dann müsste der Nutzer dafür Sorge tragen, dass dort, wo die Server stehen, ein vergleichbar hohes Datenschutzniveau herrscht, wie in der Bundesrepublik Deutschland. Diese Prüfung würde derzeit negativ ausfallen. Die Datenschutzaufsichtsbehörde Schleswig-Holstein hat von dem hinter ChatGPT stehenden Konzern, der OpenAI L.L.C., mit Schreiben vom 19.04.2023 in umfangreicher Weise Auskunft im Hinblick auf die Einhaltung der Vorgaben der DSGVO verlangt (insbesondere bzgl. Rechtmäßigkeit der Datenverarbeitung, Grundsätze der Datenverarbeitung, Betroffenenrechte, Übermittlung von personenbezogenen Daten an Stellen außerhalb der Europäischen Union etc.). Ferner werden in dem o. g. Schreiben auch grundsätzliche Bedenken zur Datenschutzkonformität von ChatGPT zum Ausdruck gebracht. Bislang liegt, nach vorliegenden Informationen, noch keine Antwort auf das Schreiben vor.
Bei der „Bitte“ an ChatGPT eine Klage zu erstellen, z. B. eine Kündigungsschutzklage, würden Adresse, Geburtsdatum, Geschlecht, Gehalt u.v.m. des Mandanten offenbart werden. In Einzelfällen könnten auch der Gesundheitszustand des Klägers und damit Gesundheitsdaten (z. B., wenn der im Wege der Klage angefochtenen Kündigung ein Betriebliches Eingliederungsmanagement vorausgegangen ist) offengelegt werden.
Wird ChatGPT in einem solchen Fall nun auf Fremdservern genutzt, würde, neben den Problemen im Hinblick auf ein ausreichendes Datenschutzniveau, dann eine Verletzung der Verschwiegenheitspflicht vorliegen, wenn die Nutzung der Anwendung ohne Einwilligung und Aufklärung des Mandanten erfolgt. Selbst bei Beseitigung dieser Hürde, wäre die Klageerstellung auch noch deswegen problematisch, weil auch die personenbezogenen Daten Dritter (z. B. Beklagter, potentielle Zeugen etc.) Teil der Klageschrift sein könnten. Eine Anfrage an ChatGPT wäre idealerweise so zu stellen, dass von ChatGPT nur ein anonymes Gerüst gefordert wird.
Die datenschutzrechtlichen sowie berufsrechtlichen Probleme lassen sich dann umgehen, solange die Software nur lokal genutzt wird und keine Weitergabe der Daten an Dritte erfolgt.
KI-gestützte Rechtschreibkorrekturfunktion
In einer Kurzinformation (Aktuelle Kurz-Information 48) hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) die datenschutzrechtlichen Probleme beim Einsatz von Rechtschreibkorrekturfunktionen in Webbrowsern durch öffentliche Stellen (Behörden) erläutert.
Webbrowser wie Google Chrome, Microsoft Edge, Mozilla Firefox oder Apple Safari werden längst nicht mehr für die eigentliche Internetrecherche, sondern auch als Programmumgebung für Webanwendungen genutzt. Wenn es sich dabei z. B. um elektronische Akten, cloudbasierte Anwendungen wie Textverarbeitungen oder Formular-Apps handelt, werden dabei auch personenbezogene Daten verarbeitet. Kommen hierbei auch die Rechtschreibprüfungen und Korrekturfunktionen des Browsers zum Einsatz, kann es passieren, dass personenbezogene Daten unbemerkt übermittelt werden. Denn bei den erweiterten Rechtschreibkorrekturen nutzen die Browser Künstliche Intelligenz (KI) und übermitteln die Texteingaben an den Anbieter der Anwendung, also einem Dritten.
Nach Auffassung des BayLfD besteht für die o. g. Datenübermittlung an den Anwendungsanbieter für bayerische öffentliche Stellen (Behörden) keine Rechtsgrundlage. Dies resultiert aus dem Umstand, dass eine öffentliche Stelle sich wegen Art. 6 Abs. 1 UAbs. 2 DSGVO bei der Erfüllung öffentlicher Aufgaben nicht auf ein berechtigtes Interesse i. S. d. Art. 6 Abs. 1 S.1 lit. f) DSGVO berufen kann. Auch der Rückgriff auf Art. 6 Abs. 1 S. 1 lit. e) DSGVO i. V. m. § 5 Abs. 1 S. 1 Nr. 1 Bayerisches Datenschutzgesetz, nämlich die Wahrnehmung einer Aufgabe im öffentlichen Interesse, ist nach Auffassung des BayLfD nicht möglich, da die Nutzung einer KI-gestützten Rechtschreibkorrektur zu o. g. Zweck nicht erforderlich sein dürfte. Denn es besteht auch die Möglichkeit, die Rechtschreibprüfung im Browser lokal (und ohne Datenübermittlung an den Anwendungsanbieter) durchzuführen.
In Betracht käme für öffentliche Stellen einzig eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Allerdings dürfte diese zum Zeitpunkt der Datenverarbeitung i. d. R. nicht vorliegen (da sich wahrscheinlich die jeweilige Behörde der Datenübermittlung an den Anwendungsanbieter nicht bewusst sein dürfte) und eine rückwirkende Genehmigung einer rechtsgrundlosen Datenverarbeitung ist unzulässig. Darüber hinaus dürfte es im Zuge der Nutzung der KI-gestützten Rechtschreibkorrektur auch zu Datenübermittlungen in Drittländer kommen, weshalb zusätzlich noch die Vorgaben gemäß Art. 44 ff DSGVO beachtet werden müssten.
Natürlich unterliegen Rechtsanwaltskanzleien als datenschutzrechtlich verantwortliche Stellen i. S. d. Art. 4 Nr. 7 DSGVO nicht den o. g. Einschränkungen bzgl. der Heranziehung eines berechtigten Interesses (vgl. Art.6 Abs. 1 S. 1 lit. f DSGVO) als Rechtsgrundlage der Datenverarbeitung. Dennoch verbleibt das Problem bzgl. der datenschutzrechtlichen Absicherung etwaiger Datenübermittlungen in Drittländer, sofern der Anwendungsanbieter seinen Sitz außerhalb der EU/EWR hat. Ferner dürften hier auch dieselben berufsrechtlichen Risiken wie bei der Verwendung von ChatGPT vorliegen. Daher wäre auch hier die lokale Nutzung von Rechtschreibkorrekturfunktionen zu empfehlen.
Fazit
Der Einsatz KI-gestützter Anwendungen kann u. U. den anwaltlichen Arbeitsalltag erleichtern. Jedoch dürfte es insbesondere fraglich sein, ob ChatGPT bei der Erstellung von Klageschriften tatsächlich ein brauchbares Ergebnis liefern würde. Zudem gibt es auch fachlich bessere Alternativen, wie z. B. entsprechende Formularbücher, in denen Klagemuster enthalten sind.
Darüber hinaus ist die Nutzung der o. g. Anwendungen sowohl mit datenschutzrechtlichen als auch berufsrechtlichen Risiken verbunden, sofern es dabei zu Datenübermittlungen an den Anwendungsanbieter kommt. Sollte dennoch eine Nutzung KI-gestützter Anwendungen in Betracht kommen, wäre deren lokale Nutzung in datenschutzrechtlicher (und auch in berufsrechtlicher) Hinsicht rechtssicher.