Zwei in den letzten Wochen veröffentlichte Referentenentwürfe des Bundesministeriums der Justiz sollen durch Änderungen im Prozessrecht dafür sorgen, dass Probleme bei der Digitalisierung der Justizkommunikation und der elektronischen Aktenführung innerhalb der Justiz sowie bei der Zwangsvollstreckung beseitigt werden.
Nutzung von ChatGPT in Unternehmen - Anhaltspunkte für ein mögliches Vorgehen auf Basis eines risikobasierten Ansatzes
Thursday, 04. May 2023
Seit nunmehr einem Monat ist der KI-Chatbot ChatGPT in Italien gesperrt. Als Grund hierfür werden Bedenken gegen den Daten- und Jugendschutz angeführt. An anderer Stelle ruft Elon Musk gemeinsam mit anderen IT-Experten dazu auf, sämtliche Arbeiten an KI-Modellen, die leistungsfähiger als ChatGPT(4) sind, vorerst auf Eis zu legen (vgl. „Pause Giant AI Experiments: An Open Letter“). Dies tut dem Hype um KI und ChatGPT jedoch keinen Abbruch. Im Gegenteil: Mit mehr als 100 Millionen monatlichen Nutzern nur zwei Monate nach der Markteinführung ist der Chatbot die wohl am schnellsten wachsende Webanwendung der Geschichte. Und dies nicht ohne Grund: Die Einsatzmöglichkeiten von ChatGPT sind sowohl im privaten Bereich als auch für Unternehmen mannigfaltig. Doch der Einsatz von ChatGPT birgt gerade für Unternehmen auch Risiken. Zunehmend stellen sich Unternehmen daher die Frage, ob und, wenn ja, unter welchen (rechtlichen) Bedingungen ChatGPT von Mitarbeitern im Arbeitskontext eingesetzt werden kann, ohne dass die Vorteile der Nutzung von ChatGPT durch rigorose Compliance-Auflagen konterkariert werden. Dieser Beitrag soll Anhaltspunkte für ein mögliches Vorgehen auf Basis eines risikobasierten Ansatzes liefern.
Schritt 1: Use Cases identifizieren
Im ersten Schritt sollten Unternehmen sich einen Überblick verschaffen, in welchen Bereichen und in welcher Form bei den Mitarbeiterinnen und Mitarbeitern Bedarf für den Einsatz von ChatGPT besteht und - möglicherweise „unter dem Radar“ - auch bereits jetzt schon zum Einsatz kommt. Dies kann beispielsweise in Form von Umfragen und Interviews geschehen, die zentral durchgeführt und ausgewertet werden.
Schritt 2: Risikoanalyse durchführen
Im nächsten Schritt sollte auf Grundlage der ermittelten Use Cases eine Risikoanalyse durchgeführt werden. Je nach Einsatzgebiet können sich insbesondere auf den Gebieten des Urheberrechts, des Geschäftsgeheimnisschutzes sowie der Informationssicherheit rechtliche Herausforderungen stellen, die aus heutiger Sicht nur zum Teil bereits absehbar sind. Hier eine Auswahl möglicher „Pain Points“:
- Urheberrecht: Es ist rechtlich noch nicht geklärt, wer Urheber der von ChatGPT erstellten Ergebnisse ist. Dies kann beispielsweise dann relevant werden, wenn ChatGPT zur Erstellung von Programmcode genutzt wird und dieser in ein Softwareprodukt integriert wird. Der erstellte Code kann zudem urheberrechtlich geschützte Inhalte enthalten, deren Verwendung die Zustimmung des Rechteinhabers erfordert oder weitergehende Verpflichtungen auslöst (Beispiel: Open Source Code). Eine ungeprüfte Verwendung des Codes kann daher zu erheblichen Haftungsrisiken führen.
- Informationssicherheit: Wird ChatGPT beispielsweise über den Service eines Drittanbieters für Codegenerierung genutzt, ist nicht auszuschließen, dass dieser auf fehlerhaften oder sogar böswillig verfälschten Daten trainiert wurde, um Sicherheitslücken (Backdoors) oder andere schädliche Wirkungen zu erzeugen.
- Vertraulichkeit & Geheimnisschutz: Werden sensible Unternehmensdaten in ChatGPT eingegeben, kann nicht gänzlich ausgeschlossen werden, dass diese auch anderen Nutzern angezeigt und somit öffentlich werden. Auch ein Diebstahl der Informationen im Zuge eines Datenlecks ist denkbar.
Schritt 3: Risk Awareness herstellen
Im nächsten Schritt sollten Unternehmen Maßnahmen ergreifen, um die ermittelten Risiken im Umgang mit ChatGPT zu adressieren und die Mitarbeiter entsprechend zu sensibilisieren. Hierbei sind sowohl die im Unternehmen bereits bestehenden internen Regelungen wie auch die aktuelle, derzeit hochdynamische Gesetzeslage zu beachten. Im europäischen Kontext wird hierbei vor allem die kommende KI-Verordnung eine Rolle spielen. Aber auch weiche Faktoren wie die Grundsätze von Ethik und Transparenz beim Einsatz von Künstlicher Intelligenz können hier einfließen. Wichtige Instrumente bei der Umsetzung des Risikomanagements können unter anderem sein:
1) Richtlinie/Policy:
Über eine interne Richtlinie kann der Umgang mit ChatGPT verbindlich für alle Mitarbeiter geregelt werden. Diese sollte vor allem Regelungen im Hinblick auf die Eingabe von Informationen wie auch im Hinblick auf die Verwendung der generierten Ergebnisse (Ausgabe) enthalten. Mögliche Inhalte könnten unter anderem sein:
- Es sollten keine vertraulichen Informationen und keine urheberrechtlich geschützten Inhalte eingegeben werden, sofern keine Zustimmung des Rechteinhabers vorliegt. Durch die Eingabe dürfen zudem keine Rechte Dritter verletzt werden.
- Vor Verwendung sind die generierten Texte stets auf sachliche Richtigkeit, Vollständigkeit und auf das Vorliegen möglicher Urheberrechte zu überprüfen. Bei Software gilt: Prüfung auf Schutzrechte Dritter/Open Source-Prüfung erforderlich.
- Von ChatGPT erstellte Inhalte sollten (intern wie extern) als solche gekennzeichnet werden.
- Soweit vorhanden: Verweis auf weitere unternehmensinterne Richtlinien (bspw. IT-Sicherheitsrichtlinie, Kommunikationsrichtlinie)
2) Schulung der Mitarbeiter:
Unternehmen sollten ihre Mitarbeiter im Hinblick auf die Nutzung von ChatGPT sensibilisieren, beispielsweise in Form von Workshops. Dabei sollte sowohl auf die Möglichkeiten und Vorteile als auch auf die möglichen Risiken und - soweit vorhanden - unternehmensinternen Richtlinien im Hinblick auf die Nutzung von ChatGPT im Unternehmen hingewiesen werden.
3) Monitoring:
Sowohl die Nutzung von ChatGPT im Unternehmen als auch die aktuelle Entwicklung auf Gesetzesebene (hier vor allem relevant: die kommende KI-Verordnung) sollten regelmäßig überwacht und überprüft werden, um sicherzustellen, dass Risiken und rechtliche Herausforderungen frühzeitig erkannt und adressiert werden können. Im Hinblick auf die interne Nutzung sind beispielsweise stichprobenartige Qualitätskontrollen denkbar, bei denen ChatGPT-Ergebnisse sowohl präventiv (durch gezieltes „Prompting“ von ChatGPT) als auch reaktiv (durch stichprobenartige Faktenchecks/Codescans bereits genutzter ChatGPT-Ergebnisse) überprüft werden. Zudem sollten regelmäßige Reviews stattfinden, bei denen auch die Nutzererfahrungen der Mitarbeiter mit einfließen können.
Unsere Experten im IT-Recht und Datenschutzrecht beraten Sie gern zu den individuellen Maßnahmen für Ihr Unternehmen.
