ChatGPT ist ein KI-Modell, entwickelt von OpenAI, das auf natürlicher Sprache trainiert wurde und in der Lage ist, auf menschliche Texteingaben zu reagieren und passende Antworten zu generieren (Definition laut ChatGPT selbst). ChatGPT basiert auf Large Language Models (LLM). Dadurch wird Unternehmen eine Möglichkeit gegeben, schnell und ohne großen Personalaufwand Inhalte zu generieren. Sie werden deshalb immer öfter im Arbeitsalltag eingesetzt. Für den Einsatz werden spezielle Vorgaben zur Nutzung notwendig.
Die Basis von ChatGPT ist deep learning. Deep learning ist eine Methode des Maschinenlernens, die künstliche neuronale Netze (KNN) mit Zwischenschichten zwischen Ein- und Ausgabeschicht einsetzt und dadurch eine umfangreiche innere Struktur herausbildet. Für das Training der Sprach-KI wurden riesige Datenmengen benötigt. ChatGPT lernte anhand von Texten aus dem Internet (mehr als 500 Milliarden Wörtern), wie Sprache (nicht Wissen!!) funktioniert.
Die von KI generierten Inhalte entfalten (meistens) keinen eigenen urheberrechtlichen Schutz, da nur Menschen Urheberrechte aufgrund persönlicher geistiger Schöpfung zugesprochen werden können.
Programme wie ChatGPT können keine persönliche Schöpfung erbringen, Mitarbeiter (und schon gar nicht Unternehmen) hinter der KI sind somit auch keine Urheber des erzeugten Outputs.
Achtung:
Interne Regeln festlegen:
Grundsätzlich ist eine Datenschutzfolgeabschäztung eine Vorabkontrolle, die durchgeführt werden soll, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies kann insbesondere dann der Fall sein, wenn neue Technologien eingesetzt werden, wie es bei KI-Systemen oft der Fall ist.
Artikel 35 DSGVO verlangt, dass eine DSFA insbesondere dann durchzuführen ist, wenn eine von drei genannten Konditionen zutrifft:
Beim Einsatz von KI ist keine dieser drei Kategorien gegeben, aber es steht ja auch nur im Gesetzestext „insbesondere“!
„Die Regelbeispiele in Abs. 3 konkretisieren den allgemeinen Begriff des „hohen Risikos“ iSd Abs. 1, indem sie nicht abschließend bestimmte Fälle definieren, bei denen eine DSFA durchzuführen ist.“
(Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 35 Rn. 21)
Also: Es reicht, wenn das geplante Vorhaben (hier: Einsatz von KI) eine einzige Verarbeitung (wie etwa eine Erhebung oder Übermittlung von Daten) beinhaltet, die voraussichtlich ein hohes Risiko gemäß Absatz 1 mit sich bringen kann. Vorliegend kann die Erlaubnis, KI einzusetzen, ein hohes Risiko für die personenbezogenen Daten mit sich bringen (nämlich dann, wenn sich jemand nicht an die Vorgaben hält, keine pbD im System verarbeiten zu lassen).
Fazit
Art. 35 Abs.1 DSGVO stellt auf eine bestimmte Form der Verarbeitung ab, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hat, wenn gegen die organisatorische Maßnahme verstoßen wird. Ausgangspunkt ist also nicht die organisatorische Maßnahme, sondern der Einsatz der KI.
Erst durch das Verbot des Einsatzes personenbezogener Daten reduziert sich das Risiko auf ein vernünftiges Maß.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Checkliste zum Einsatz von LLM-basierter Chatbots veröffentlicht. Folgende Punkte sind demnach zu beachten:
Haben Sie Nutzungsbedingungen oder andere AGB akzeptiert, werden diese Vertragsbestandteil. In AGB können bestimmte Rechte an der Software – oder den damit erzeugten Inhalten – geregelt werden. Möglicherweise wird nämlich mit den Nutzungsbedingungen vereinbart, dass die von der KI generierten Inhalte nur eingeschränkt genutzt werden dürfen.
Bei ChatGPT können allerdings keine Nutzungsbedingungen aufgerufen werden. Nach Vorgaben des BGH müssten sie zudem ausdruckbar und abspeicherbar sein. Das ist vorliegend jedenfalls nicht gegeben, weshalb eine Einschränkung der Nutzung durch Nutzungsbedingungen wohl nicht gegeben ist.
Für die reinen Inhalte, die von ChatGPT erzeugt werden, empfehlen wir eine Kennzeichnung dahingehend, dass sie von einer KI erzeugt wurden. Eine Zitierpflicht im urheberrechtlichen Sinne besteht nicht, da die erzeugten Inhalte nicht urheberrechtlich geschützt sind (zumindest nicht durch die KI, da diese kein Mensch ist und deshalb kein Urheberrecht an den erzeugten Inhalten haben kann. Wie letzte Woche aber im Datenschutz-Weekly bereits besprochen, ist nicht klar, woher die Inhalte bei der KI stammen, da ChatGPT selbst die Quellen nicht angibt. Um Urheberrechtsverletzungen zu vermeiden, sollten daher die Inhalte nicht kommerziell verwendet werden, ohne zu prüfen, woher die generierten Inhalte stammen).
Zu den Screenrecordings: Design und die Benutzeroberfläche können urheberrechtlich, wettbewerbsrechtlich oder designrechtlich geschützt sein. Wir raten daher von der Veröffentlichung eines Screenrecordings aus rechtlichen Gründen ab. Mit einer entsprechenden Genehmigung der Entwickler von ChatGPT wäre dies allerdings möglich.
Damit dürfte eine unzulässige Leistungsübernahme nach § 4 Ziff. 3 a) UWG vorliegen.
Copyright kann nur beansprucht werden, wenn Werke menschlicher Urheberschaft sind. Da Bilder, die mithilfe der Midjourney-Technologie erzeugt wurden, kein Produkt eigenständiger menschlicher Urheberschaft sind, kann daher auch kein Copyright beansprucht werden.
Ob ein überwiegender Anteil menschlicher Schöpfungskraft zu einer Urheberschaft führt, z.B. durch weitere Bearbeitung der Bilder, wird Gegenstand von Gerichtsverfahren werden.
Anfang des Jahres gab es dazu auch eine Entscheidung des United States Copyright Office.
Die amerikanische Behörde lehnte in einem Schreiben den Antrag auf Copyright auf ein von Midjourney erstelltes Bild ab (erkennt aber ihre Rechte am Sammelwerk an: „Copyright therefore protects Ms. Kashtanova’s authorship of the overall selection, coordination, and arrangement of the text and visual elements that make up the Work.“)
Grundsätzlich sind Texte, die von ChatGPT generiert werden, immer auf ihre Plausibilität zu überprüfen und zu verifizieren. Es handelt sich hierbei lediglich um eine Textgenerierung mit keiner Garantie auf Richtigkeit.
Zudem wird durch die Nutzungsbedingungen der Hersteller klargestellt, dass für Richtigkeit von Informationen nicht gehaftet wird. Zwar gibt es die gesetzlichen Haftungsnormen nach ProduktHaftG und Produzentenhaftung, wonach der Hersteller von Produkten nach bestimmten Voraussetzungen für Schäden haftet. Im Fall von KI dürfte es aber immer am Verschulden (bei Produzentenhaftung) bzw. am „Fehler“ (bei Produkthaftung) mangeln, so dass die Hersteller haftungsrechtlich bis auf Weiteres außen vor sind.
Es haftet also die Person bzw. das Unternehmen, das die KI oder die Ergebnisse der KI einsetzt, nach den allgemeinen gesetzlichen Normen.
Grundsätzlich kann Mitarbeitern die Möglichkeit eingeräumt werden, KI-Anwendung für die interne Recherche zu verwenden. Wichtig: es dürfen keine vertraulichen Unternehmensdaten oder personenbezogene (Kunden)Daten zur Textgenerierung in das Tool eingegeben werden, da diese Informationen dann wiederum für das Weiterlernen der KI genutzt werden.
Bei der Verwendung von KI-Anwendungen muss immer äußerste Vorsicht geboten werden, wenn personenbezogene Daten genutzt werden. Es sollten intern Regeln aufgestellt werden, wie die KI genutzt werden kann
Regeln für den Einsatz externer KI-Tools - Ideen:
Achtung: Es sind derzeit nur Modelle, keine Wissensdatenbanken oder „Partner“.
Bei Kundendaten handelt es sich um personenbezogene Daten.
Art. 4 DSGVO- Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Personenbezogene Daten dürfen genutzt werden, wenn eine Rechtsgrundlage nach Art. 6 DSGVO zur Verarbeitung vorliegt.
Denkbar wäre vor allem eine ausdrückliche Einwilligung der Kunden, dass ihre Daten für das Training kundenspezifischer Modelle weiterverwendet werden dürfen.
Sofern eine Anonymisierung der Daten möglich wäre, wäre der Anwendungsbereich der DSGVO gar nicht eröffnet und es bestünden keine datenschutzrechtlichen Anforderungen.
Die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO müssen stets eingehalten werden. Andernfalls ist eine Nutzung nicht erlaubt.
noyb hat eine Beschwerde gegen OpenAI eingereicht. Die von Datenschutz-Aktivist Max Schrems mitbegründete Organisation warf OpenAI vor, im Fall einer nicht namentlich genannten "Person des öffentlichen Lebens" falsche persönliche Daten anzugeben, ohne die gesetzlich vorgeschriebene Möglichkeit einer Berichtigung oder Löschung einzuräumen. Noyb beruft sich dabei auf die Datenschutz-Grundverordnung der EU. Sie wirft OpenAI vor, den Menschen in Europa ihre Rechte nach der DSGVO zu verweigern, indem sie falsche Informationen verbreiten und keine angemessene Reaktion auf Auskunftsersuchen bieten. Maartje de Graaf, Datenschutzjuristin bei Noyb, betonte, dass Unternehmen verpflichtet sind, Auskunftsersuchen zu beantworten und transparent zu sein. Noyb und der Betroffene fordern nun die österreichische Datenschutzbehörde (DSB) auf, die Datenverarbeitungspraktiken von OpenAI zu untersuchen und gegen das Unternehmen vorzugehen, um die Einhaltung der Datenschutzvorschriften sicherzustellen.
noyb fordert daher eine Untersuchung der Datenverarbeitungspraktiken von OpenAI durch die österreichische Datenschutzbehörde und fordert Maßnahmen zur Sicherstellung der Richtigkeit persönlicher Daten sowie die Einhaltung der DSGVO.
Stand: Mai 2024
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung