Auch unter Beschäftigten kann die Idee, dass Large Language Models (LLM) wie ChatGPT, Luminous oder Gemini die eigene Arbeit erleichtern könnten, attraktiv erscheinen und zur Nutzung solcher Tools animieren. Problematisch kann dies werden, wenn Unternehmen ihren Beschäftigten vorab keine klaren Vorgaben für den Einsatz solcher Tools machen. Dann besteht die Gefahr, dass Beschäftigte eigenmächtig solche Tools nutzen und Regeln, die für eine datenschutzkonforme Nutzung beachten werden müssten, missachtet werden.
Dieses Risiko sollte nicht unterschätzt werden, denn die Thematik ist auch längst bei den Datenschutz-Aufsichtsbehörden angekommen. Wir berichteten bereits über die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ der DSK, dessen Schwerpunkt die Betrachtung dieser Large Language Models darstellt. Eine etwas übersichtlichere Darstellung der Problematik veröffentlichte die hamburgische Aufsichtsbehörde bereits im November 2023 in Form einer Checkliste. Die Checkliste beinhaltet insgesamt 15 Aspekte und soll als Leitfaden für eine datenschutzkonforme Nutzung von LLM-basierten Chatbots dienen. Da diese Checkliste für Unternehmen und Behörden ebenfalls eine gute Orientierungshilfe darstellt, werden die wichtigsten Punkte dieser Checkliste im Folgenden in verkürzter Form dargestellt:
Ohne klare Regeln funktioniert es nicht
Die Aufsichtsbehörde empfiehlt, dass klare Regelungen vorgegeben werden sollen, ob und unter welchen Voraussetzungen LLM-basierte Chatbots in Unternehmen oder Behörden verwendet werden dürfen. Für eine bessere Verständlichkeit der Regelungen empfiehlt die Aufsichtsbehörde ebenfalls Beispiele für zugelassene und untersagte Nutzungen darzustellen. Bei Erstellung solch interner Regelungen ist es zu empfehlen, den Datenschutzbeauftragten mit einzubeziehen. Die Beschäftigten sollten neben vorhandenem Regelwerk auch grundsätzlich für die Thematik der Nutzung von KI-Tools und deren Risiken sensibilisiert werden.
Erstellung und Nutzung von Accounts
Die Nutzung von LLM-basierten Chatbots ist häufig nur in Verbindung mit der Erstellung eines Accounts möglich. Die Aufsichtsbehörde empfiehlt in solchen Fällen berufliche Accounts zur Verfügung zu stellen. So wird verhindert, dass private Daten für die Erstellung eines Accounts verwendet werden. Auch diese beruflichen Accounts sollten – sofern möglich – nicht auf die Namen einzelner Beschäftigten laufen. Sofern beispielsweise E-Mail-Adressen abgefragt werden, empfiehlt die Aufsichtsbehörde eine Funktionsmailadresse, die nicht auf einen einzelnen Beschäftigten läuft, zu erstellen. Die zur Verfügungstellung des dienstlichen Accounts sollte dann auch jegliche private Nutzung ausschließen. Der dienstliche Account sollte außerdem über eine sichere Authentifizierung verfügen, d. h., dass insbesondere starke Passwörter verwendet und möglichst weitere Authentifizierungsfaktoren integriert werden sollten.
Bei Chat-GPT gibt es mittlerweile auch die Möglichkeit der Nutzung ohne Erstellung eines solchen Accounts. Dass auch bei einer Nutzung ohne Registrierung Risiken bestehen, zeigen allerdings die folgenden Aspekte.
Der Umgang mit personenbezogenen Daten
Nutzen die Anbieter der Chatbots die eingegeben Daten auch für eigene Zwecke, welche meist insbesondere darin bestehen, die dahinterstehende KI weiter zu trainieren und zu verbessern, führt dies meist dazu, dass für diese Datenverarbeitung keine Rechtsgrundlage zur Verfügung steht und entsprechend keine personenbezogenen Daten in dem Chatbot eingegeben werden dürfen. Dabei ist nicht nur darauf zu achten, dass keine konkreten personenbezogenen Daten eingegeben werden, sondern auch Angaben, die ggf. Rückschlüsse auf einzelne Personen ziehen lassen, sollten vermieden werden. Auch der Chatbot selbst sollte in seinen Ergebnissen keine personenbezogenen Daten ausliefern. In der Eingabemaske ist daher darauf zu achten, dass keine Fragen gestellt werden, die, unter Hinzuziehung weiterer Informationen aus der Datenbank des Chatbots, Bezug zu Einzelpersonen herstellen könnten.
Opt-Out-Möglichkeiten
Chatbots bieten häufig die Möglichkeit an, sowohl die Verwendung der eingegebenen Daten zu Trainingszwecken, als auch die Speicherung der bisher eingegebenen Daten in einer Historie abzulehnen. Die Aufsichtsbehörde empfiehlt die Verwendung solcher Möglichkeiten. Diese Opt-Out-Möglichkeiten sind allerdings bisher an die Nutzung eines Accounts geknüpft. So bietet beispielweise ChatGPT solche Möglichkeiten nicht in der Version an, die ohne Account genutzt werden kann.
Der richtige Umgang mit den Ergebnissen
Auch Maschinen sind nicht fehlerfrei. Nutzer*innen tragen die Verantwortung dafür, zu überprüfen, ob die Ergebnisse, die der Chatbot liefert, sachlich richtig und nichtdiskriminierend sind. Logisch erscheinende scheinbar richtige Ergebnisse könnten sich als Falschaussagen erweisen. Auch ohne direkten Personenbezug kann ein Ergebnis diskriminierend sein, wenn beispielsweise in diskriminierender Art und Weise Bezug auf eine bestimmte Personengruppe genommen wird. Die Aufsichtsbehörde nennt dafür das Beispiel, dass für eine Stellenanzeige männliche Brillenträger empfohlen werden.
In diesem Rahmen ist insbesondere auch zu betonen, dass eine Maschine keine Letztentscheidung treffen sollte. Entscheidungen, die Rechtswirkung entfalten, sollten nur von Menschen und nicht von Maschinen getroffen werden.
Es gibt auch noch Probleme außerhalb des Datenschutzes
Die Nutzung LLM-basierter Chatbots beinhaltet auch über den Datenschutz hinausgehend Probleme. So sollte beispielsweise auch der Schutz von Geschäftsgeheimnissen und Urheberrechten beachtet werden. Die Thematik erfordert eine differenzierte juristische Auseinandersetzung, die über Datenschutzprobleme hinausgeht.
Fazit
Die Nutzung LLM-basierter Chatbots erscheint auf den ersten Blick lukrativ, ist auf den zweiten Blick aber mit Risiken verbunden. Unternehmen und Behörden wird empfohlen sich mit der Thematik auseinanderzusetzen und interne Regeln vorzugeben. Es ist bisher nicht zwingend erforderlich die Nutzung vollständig zu verbieten, allerdings sollten erlaubte Nutzungen an Bedingungen geknüpft werden. Die Checkliste der Aufsichtsbehörde gibt einen guten ersten Überblick darüber, wie solche Bedingungen aussehen könnten.
Statt mit dieser Checkliste die Thematik als erledigt anzusehen, ist es Unternehmen und Behörden aber darüber hinaus zu empfehlen, die Entwicklungen weiter zu beobachten. Bei den Datenschutzaufsichtsbehörden ist die Prüfung von LLM-basierten Chatbots noch längst nicht abgeschlossen. So veröffentliche die vom EDSA errichtete ChatGPT Taskforce erst vor knapp einem Monat einen Zwischenbericht, wie es um die Nutzung von ChatGPT steht. Auch in einigen aktuellen Tätigkeitsberichten findet ChatGPT Beachtung und die Aufsichtsbehörden werden sich auch weiterhin mit ChatGPT und sonstigen LLM-basierten Chatbots beschäftigten.