Nur jedes hundertste Unternehmen, so der Branchenverband BITKOM, hat Regeln für den Einsatz von generativer KI durch einzelne Beschäftigte festgelegt, 16 Prozent planen dies für die Zukunft.
Die Landesdatenschutzbeauftragten Baden-Württembergs (LfDI BW) und Hamburgs (HmbBfDI) haben kürzlich Handlungsempfehlungen zum Einsatz von Künstlicher Intelligenz (KI) veröffentlicht. Der LfDI BW positionierte sich in Form eines Diskussionspapiers „Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz“; der HmbBfDI zog wenig später mit einer kompakteren „Checkliste zur datenschutzkonformen Nutzung von Chatbots“ nach.
- Interne Compliance-Regelungen: Der HmbBfDI warnt vor unkontrolliertem Umgang mit generativer KI im Arbeitsalltag und regt klare und dokumentierte interne Weisungen an. Dem ist zuzustimmen. Solche Richtlinien oder Leitfäden können die Nutzung nicht nur einhegen, sondern sie ermutigen, indem (rechtskonforme) Anwendungsfälle aufgezeigt werden.
- Datensparsame Einstellungen und Eingaben: Eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist – so der LfDI BW – für jede Phase der Verarbeitung gesondert zu beurteilen. ChatGPT und Co. sollten in jedem Fall so eingestellt werden, dass die Eingaben nicht zum KI-Training genutzt werden. Die Eingabe personenbezogener Daten sollte unbedingt vermieden werden. Texte, die hochgeladen werden, können beispielsweise mit der Suchen-Ersetzen-Funktion des Textbearbeitungsprogramms anonymisiert werden. Die beiden Datenschutzaufsichtsbehörden warnen auch vor der Eingabe personenbeziehbarer Daten, bei denen sich aus dem Kontext der Eingabe ein Personenbezug ergeben könnte.
- Urheberrecht und Geschäftsgeheimnisse: Ebenso wie das Datenschutzrecht sind das Urheberrecht und das Geschäftsgeheimnisrecht zu beachten. Mit der Möglichkeit, dass Eingaben an einer anderen Stelle als Ergebnis ausgegeben werden, müssen Nutzer:innen immer rechnen.
- Überprüfung von Ergebnissen und Letztentscheidungsbefugnis: Zu Recht mahnt der HmbBfDI, Ergebnisse von Large Language Models (LLM) nicht ungeprüft zu übernehmen. Jede:r Nutzer:in kennt den Fall, dass völlig unterwartete „Halluzinationen“ auftreten, die sich zwar überzeugend lesen, inhaltlich aber falsch sind. Auch aufgrund des Verbots automatisierter Entscheidungen im Einzelfall, Art. 22 DSGVO, sollten Entscheidungen mit erheblichen Auswirkungen auf Menschen in letzter Konsequenz von Menschen getroffen werden. Das ist leichter gesagt als umgesetzt, denn Entscheidungsträger:innen neigen dazu, KI-gestützte Entscheidungen ungeprüft zu übernehmen.
Die Datenschutzbehörden prüfen momentan in Musterverfahren, ob die am Markt angebotenen Sprachmodelle grundsätzlich rechtmäßig sind. Den anwendenden Unternehmen und Nutzer:innen ist zu empfehlen, sich ständig über technische und rechtliche (Stichwort: KI-Verordnung) Neuerungen zu informieren; auf beiden Ebenen ist das Entwicklungstempo momentan sehr hoch. Nicht nur unter dem Weihnachtsbaum ist immer mit Überraschungen zu rechnen.. 🎄