Zahlreiche Aufgaben in der heutigen Organisation, wie etwa die Suche nach Informationen, lassen sich mithilfe von eigenen KI-Systemen gut oder sehr gut lösen . Bei zahlreichen Anbietern, wie etwa ChatGPT, bestehen jedoch durchaus Risiken in gleich mehreren Rechtsgebieten. Diese können von Datenschutz, über das Geschäftsgeheimnisgesetz, bis hin zum Urheberrecht und bei einigen Berufsfeldern ( z. B. Arzt, Apotheken und Anwälten) sogar bis hin zum Strafrecht reichen .
Rechtliche und organisatorische Risiken
Organisationen sehen sich hier einem Risiko ausgesetzt, wenn sie Daten in ein KI-System eingeben, das Dritte betreiben und somit nicht die volle Kontrolle über die eigenen Daten bietet.
Wie jedem mittlerweile klar sein sollte, werden die über ChatGPT verarbeiteten Daten von Microsoft für eigenen Zwecke genutzt und abgespeichert. Dies kann über den Gebrauch der gewonnenen Daten für das Training der KI, bis hin zur Auswertung der Daten für Werbezwecke reichen.
Zurzeit ist zwar je nach Umständen ein rechtssicherer Datentransfer an Server oder Unternehmen mit USA-Bezug wieder einfacher und rechtssicherer möglich.
Das neue Datenschutzabkommen zwischen Europa und den USA wird jedoch zukünftig mit an Sicherheit grenzender Wahrscheinlichkeit angegriffen werden.
Allein dieser Punkt sollte für viele Organisationen ausreichen, um zu überlegen, ob eine dauerhafte geplante Einbindung von z. B. ChatGPT nicht für eigene Daten zielführend ist und das Risiko rechtfertigt.
Vor allem da Daten eines Unternehmens auch ohne Personenbezug aus dem oben genannten Gründen auch schützenswert sein können.
Für personenbezogene Daten sind weiterhin bekanntlich die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zwingend einzuhalten.
Die Verarbeitung personenbezogener Daten ist daher nur aufgrund einer Rechtsgrundlage zulässig und geht mit verschiedenen Verpflichtungen einher.
Aus den eben genannten Gründen sind sensible Daten auf einem Server in den USA oder in der Obhut eines amerikanischen Anbieters generell nicht als sicher anzusehen. Dies lässt sich aus ähnlichen Gründen auch für andere Staaten, wie China oder Russland annehmen. Somit ist ChatGPT kein besonderer geeigneter Platz für Mitarbeiterdaten, Vertragsdokumente, Software-Quelltexte , Patentschriften und dergleichen.
Sollte ein Verzicht auf KI-Modelle jedoch nicht in Betracht kommen, gibt es hier mehrere Lösungsansätze.
Eine Möglichkeit wäre es eine entsprechende Richtlinie in der Organisation zur Nutzung von KI-Modellen zu erlassen.
Darin sollten zumindest folgende Punkte für die Mitarbeiter verständlich abgehandelt werden:
- Zweck und Verantwortlichkeiten
- Zulässiger Anwendungsbereich
- Vertraulichkeit und Datenschutz
- Personenbezogene Daten gem. Art 4 Nr.1 DSGVO
- Umgang mit Geschäftsgeheimnissen
- Der Gesetzlichen Auskunftsanspruch
- Verantwortungsbewusste Entscheidungsfindung
- Feedback und Verbesserung
- Sicherheit
- Schulung und Bewusstsein
- 8.Umgang mit dem Account
- Datenschutzverletzungen
Eine andere Lösung dieses Problems wäre die Einführung eines autarken KI-Systems, die ein Unternehmen selbst betreibt .
Autarke KI-Systeme sind eigenständige Anwendungen, die auf einer eigenen (oder gemieteten) Hardware laufen. Diese Anwendungen lassen sich auch ohne eine Internetverbindung betreiben.
Daraus wird bereits der Vorteil ersichtlich. Der Datenfluss verbleit vollständig kontrollierbar und in der Hand der Organisation ohne einem Dritten einen Einblick gewähren zu müssen.
Die Pflichten aus der DSGVO, wie etwa die Informationspflicht Art 13 DSGVO oder nachkommen eventueller Betroffenenrechte nach Art 15 ff DSGVO, dürften damit für die verantwortliche Organisation leichter nachkommen zu sein, als bei einer Inanspruchnahme einer extern betriebenen KI.
Hierzu gibt es bereits einige erschwingliche Grundlagenmodelle verschiedener Anbieter.
Diese müssten natürlich dann noch entsprechend „trainiert“ und auf die Bedürfnisse der Organisation angepasst werden.