Darf man die von KI erzeugten Texte einfach verwenden?

Unter welchen Voraussetzungen kann ChatGPT eingesetzt werden?

Die Basis von ChatGPT ist deep learning. Deep learning ist eine Methode des Maschinenlernens, die künstliche neuronale Netze (KNN) mit Zwischenschichten zwischen Ein- und Ausgabeschicht einsetzt und dadurch eine umfangreiche innere Struktur herausbildet. Für das Training der Sprach-KI wurden riesige Datenmengen benötigt. ChatGPT lernte anhand von Texten aus dem Internet (mehr als 500 Milliarden Wörtern), wie Sprache (nicht Wissen!!) funktioniert.

Die von KI generierten Inhalte entfalten (meistens) keinen eigenen urheberrechtlichen Schutz, da nur Menschen Urheberrechte aufgrund persönlicher geistiger Schöpfung zugesprochen werden können.

Programme wie ChatGPT können keine persönliche Schöpfung erbringen, Mitarbeiter (und schon gar nicht Unternehmen) hinter der KI sind somit auch keine Urheber des erzeugten Outputs.

Achtung:

• Ungeprüftes Übernehmen von KI generierten Inhalten stellt ggf. eine Sorgfaltspflichtverletzung des Nutzers dar, der Urheber kann den Nutzer für Rechtsverletzungen verantwortlich machen.
• Bei vorsätzlichem oder fahrlässigem Verhalten greift ein Schadensersatzanspruch gem. § 97 II UrhG.
• Übernahme von Output ohne manuelle Prüfung kann als grob fahrlässiges/fahrlässiges Verhalten gewertet werden à Große Sorgfalt geboten!
• AI-Act: Kennzeichnungspflicht für KI-generierte Inhalte

Interne Regeln festlegen:

• Schulung der Mitarbeiter
• Keine personenbezogenen Daten in offene KI-Systeme!
• Jegliche Verarbeitungen personenbezogener Daten durch KI müssen den Datenschutzgrundprinzipien entsprechen.
• Sollen KI-Systeme in Unternehmen eingesetzt werden, empfiehlt sich im Einzelfall die Durchführung einer Datenschutz-Folgenabschätzung.
• Um die Einhaltung der Prinzipien im Kontext der Verwendung von KI greifbarer zu machen, hat die Datenschutzkonferenz (DSK) sieben datenschutzrechtliche Anforderungen in ihrer Hambacher Erklärung zur Künstlichen Intelligenz herausgearbeitet

Muss beim Einsatz von KI im  Unternehmen eine DSFA durchgeführt werden?

Grundsätzlich ist eine Datenschutzfolgeabschäztung eine Vorabkontrolle, die durchgeführt werden soll, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies kann insbesondere dann der Fall sein, wenn neue Technologien eingesetzt werden, wie es bei KI-Systemen oft der Fall ist.

Artikel 35 DSGVO verlangt, dass eine DSFA insbesondere dann durchzuführen ist, wenn eine von drei genannten Konditionen zutrifft:

• Systematische und umfangreiche Bewertung persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung beruht, einschließlich Profiling, und die rechtliche Wirkungen für die natürliche Person nach sich zieht oder sie in ähnlicher Weise erheblich beeinflusst.
• Groß angelegte Verarbeitung besonderer Kategorien von Daten nach Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 10.
• Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Beim Einsatz von KI ist keine dieser drei Kategorien gegeben, aber es steht ja auch nur im Gesetzestext „insbesondere“!

„Die Regelbeispiele in Abs. 3 konkretisieren den allgemeinen Begriff des „hohen Risikos“ iSd Abs. 1, indem sie nicht abschließend bestimmte Fälle definieren, bei denen eine DSFA durchzuführen ist.“

(Gola/Heckmann/Nolte/Werkmeister, 3. Aufl. 2022, DS-GVO Art. 35 Rn. 21)

Also: Es reicht, wenn das geplante Vorhaben (hier: Einsatz von KI) eine einzige Verarbeitung (wie etwa eine Erhebung oder Übermittlung von Daten) beinhaltet, die voraussichtlich ein hohes Risiko gemäß Absatz 1 mit sich bringen kann. Vorliegend kann die Erlaubnis, KI einzusetzen, ein hohes Risiko für die personenbezogenen Daten mit sich bringen (nämlich dann, wenn sich jemand nicht an die Vorgaben hält, keine pbD im System verarbeiten zu lassen).

Fazit

Art. 35 Abs.1 DSGVO stellt auf eine bestimmte Form der Verarbeitung ab, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hat, wenn gegen die organisatorische Maßnahme verstoßen wird. Ausgangspunkt ist also nicht die organisatorische Maßnahme, sondern der Einsatz der KI.

Erst durch das Verbot des Einsatzes personenbezogener Daten reduziert sich das Risiko auf ein vernünftiges Maß.

Datenschutzkonformer Einsatz von LLM-basierter Chatbots

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Checkliste zum Einsatz von LLM-basierter Chatbots veröffentlicht. Folgende Punkte sind demnach zu beachten:

• Compliance-Regelungen
• Einbindung der Datenschutzbeauftragte
• Bereitstellung von Funktions-Accounts
• Sicherstellung der Authentifizierung
• Keine Eingabe/Ausgabe personenbezogener Daten
• Vorsicht bei personenbeziehbaren Daten
• Opt-out des KI-Trainings und der History
• Ergebnisse auf Richtigkeit und Diskriminierung prüfen
• Keine automatisierte Letztentscheidung
• Sensibilisierung der Beschäftigten
• Datenschutz, Urheberrechte und Geschäftsgeheimnissen bedenken
• Weitere Entwicklung verfolgen

Können Ergebnisse aus KI-Anwendungen wie Midjourney oder ChatGPT kommerziell verwendet werden? 

1. Urheberrechtlich geschützt sind nach Art. 2 Abs. 2 UrhG nur menschliche Schöpfungen. Voraussetzung ist also, dass ein Werk der Literatur, Wissenschaft oder Kunst nach dem Gesetz nur vorliegen kann, wenn ein Mensch die Werkschöpfung vorgenommen hat. (Tiere können z.B. auch nicht Inhaber von Urheberrechten sein, vgl. Heise)
2. Grundsätzlich ist also davon auszugehen, dass die KI-erzeugten Inhalte selbst keinen urheberrechtlichen Schutz genießen. Damit dürfte man auch die über ChatGPT erzeugten Texte beliebig verwenden.
3. Aber: es ist unsichtbar, woher ChatGPT wiederum seine Inhalte bezieht bzw. welcher Quellen sich die KI bedient. Diese genießen möglicherweise urheberrechtlichen Schutz. Deshalb muss vor allem vor Veröffentlichungen geprüft werden, ob damit Urheberrecht anderer verletzt werden, vgl. FAZ

Und was ist mit den AGB? Machen diese einen Unterschied?

Haben Sie Nutzungsbedingungen oder andere AGB akzeptiert, werden diese Vertragsbestandteil. In AGB können bestimmte Rechte an der Software – oder den damit erzeugten Inhalten – geregelt werden. Möglicherweise wird nämlich mit den Nutzungsbedingungen vereinbart, dass die von der KI generierten Inhalte nur eingeschränkt genutzt werden dürfen.

Bei ChatGPT können allerdings keine Nutzungsbedingungen aufgerufen werden. Nach Vorgaben des BGH müssten sie zudem ausdruckbar und abspeicherbar sein. Das ist vorliegend jedenfalls nicht gegeben, weshalb eine Einschränkung der Nutzung durch Nutzungsbedingungen wohl nicht gegeben ist.

Darf man Screenrecordings von ChatGPT für einen Social Media Beitrag verwenden?

Für die reinen Inhalte, die von ChatGPT erzeugt werden, empfehlen wir eine Kennzeichnung dahingehend, dass sie von einer KI erzeugt wurden. Eine Zitierpflicht im urheberrechtlichen Sinne besteht nicht, da die erzeugten Inhalte nicht urheberrechtlich geschützt sind (zumindest nicht durch die KI, da diese kein Mensch ist und deshalb kein Urheberrecht an den erzeugten Inhalten haben kann. Wie letzte Woche aber im Datenschutz-Weekly bereits besprochen, ist nicht klar, woher die Inhalte bei der KI stammen, da ChatGPT selbst die Quellen nicht angibt. Um Urheberrechtsverletzungen zu vermeiden, sollten daher die Inhalte nicht kommerziell verwendet werden, ohne zu prüfen, woher die generierten Inhalte stammen).

Zu den Screenrecordings: Design und die Benutzeroberfläche können urheberrechtlich, wettbewerbsrechtlich oder designrechtlich geschützt sein. Wir raten daher von der Veröffentlichung eines Screenrecordings aus rechtlichen Gründen ab. Mit einer entsprechenden Genehmigung der Entwickler von ChatGPT wäre dies allerdings möglich.

Wäre es zulässig, den Prozess der Antworterstellung in einen eigenen "Frame" zu packen, mit z.B. dem eigenen Unternehmenslogo?

Damit dürfte eine unzulässige Leistungsübernahme nach § 4 Ziff. 3 a) UWG vorliegen.

Ist es möglich auf Bilder, die durch den Anwender über Midjourney generiert wurden, ein Copyright zu beanspruchen?

Copyright kann nur beansprucht werden, wenn Werke menschlicher Urheberschaft sind. Da Bilder, die mithilfe der Midjourney-Technologie erzeugt wurden, kein Produkt eigenständiger menschlicher Urheberschaft sind, kann daher auch kein Copyright beansprucht werden.

Ob ein überwiegender Anteil menschlicher Schöpfungskraft zu einer Urheberschaft führt, z.B. durch weitere Bearbeitung der Bilder, wird Gegenstand von Gerichtsverfahren werden.

Anfang des Jahres gab es dazu auch eine Entscheidung des United States Copyright Office.

Die amerikanische Behörde lehnte in einem Schreiben den Antrag auf Copyright auf ein von Midjourney erstelltes Bild ab (erkennt aber ihre Rechte am Sammelwerk an: „Copyright therefore protects Ms. Kashtanova’s authorship of the overall selection, coordination, and arrangement of the text and visual elements that make up the Work.“)

Wer haftet, wenn ein Unternehmen KI-Services wie z.B. ChatGPT in eigene Produkte integriert und diese Produkte dann wegen ChatGPT einen Schaden verursachen?

Grundsätzlich sind Texte, die von ChatGPT generiert werden, immer auf ihre Plausibilität zu überprüfen und zu verifizieren. Es handelt sich hierbei lediglich um eine Textgenerierung mit keiner Garantie auf Richtigkeit.

Zudem wird durch die Nutzungsbedingungen der Hersteller klargestellt, dass für Richtigkeit von Informationen nicht gehaftet wird. Zwar gibt es die gesetzlichen Haftungsnormen nach ProduktHaftG und Produzentenhaftung, wonach der Hersteller von Produkten nach bestimmten Voraussetzungen für Schäden haftet. Im Fall von KI dürfte es aber immer am Verschulden (bei Produzentenhaftung) bzw. am „Fehler“ (bei Produkthaftung) mangeln, so dass die Hersteller haftungsrechtlich bis auf Weiteres außen vor sind.

Es haftet also die Person bzw. das Unternehmen, das die KI oder die Ergebnisse der KI einsetzt, nach den allgemeinen gesetzlichen Normen.

Was muss ich datenschutzrechtlich beachten, wenn ich als Verantwortlicher KI-Anwendungen zur Nutzung durch die Mitarbeitenden freigebe?

Grundsätzlich kann Mitarbeitern die Möglichkeit eingeräumt werden, KI-Anwendung für die interne Recherche zu verwenden. Wichtig: es dürfen keine vertraulichen Unternehmensdaten oder personenbezogene (Kunden)Daten zur Textgenerierung in das Tool eingegeben werden, da diese Informationen dann wiederum für das Weiterlernen der KI genutzt werden.

Bei der Verwendung von KI-Anwendungen muss immer äußerste Vorsicht geboten werden, wenn personenbezogene Daten genutzt werden. Es sollten intern Regeln aufgestellt werden, wie die KI genutzt werden kann

1. Unterscheiden Sie „interne“ Tools, die nur für Ihr Unternehmen/Ihre Organisation eingesetzt werden und externe Tools, wie Midjourney oder ChatGPT.
2. Interne Tools: allgemeine Datenschutzregeln beachten, wie

• Wahrung der Betroffenenrechte
• Verantwortlichkeit und Auftragsverarbeitung
• Informationspflichten
• Transparenzgebot
• Löschpflichten
• Widerspruchsmöglichkeit

Regeln für den Einsatz externer KI-Tools - Ideen:

1. Datenschutz und Datensicherheit: Keine sensiblen Informationen in die KI-Systeme geben und keine personenbezogenen Daten verwenden.
2. Transparenz: Kommunizieren Sie klar, wenn Sie KI-Tools oder -Assistenten in Ihrer Arbeit einsetzen. Erläutern Sie, wie KI-Systeme funktionieren, wenn Sie sie Kollegen oder Kunden präsentieren.
3. Ethik und Fairness: Melden Sie mögliche ethische Bedenken oder Probleme mit KI-Systemen Ihrem Vorgesetzten oder der entsprechenden Abteilung.
4. Verantwortung: Seien Sie sich bewusst, dass Sie für die Ergebnisse und Entscheidungen verantwortlich sind, die Sie mit Hilfe von KI treffen.
5. Qualitätskontrolle: Überprüfen Sie regelmäßig die Genauigkeit und Qualität der von KI-Systemen gelieferten Ergebnisse. Korrigieren Sie Fehler im System und stellen Sie sicher, dass die Ergebnisse den Anforderungen des Unternehmens entsprechen.
6. Nachhaltigkeit: Nutzen Sie KI-Systeme nachhaltig und ressourceneffizient, um Umweltauswirkungen zu minimieren.

Achtung: Es sind derzeit nur Modelle, keine Wissensdatenbanken oder „Partner“.

Wann darf ich Kundendaten nutzen, um kundenspezifische Modelle zu trainieren?

Bei Kundendaten handelt es sich um personenbezogene Daten.

Art. 4 DSGVO- Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Personenbezogene Daten dürfen genutzt werden, wenn eine Rechtsgrundlage nach Art. 6 DSGVO zur Verarbeitung vorliegt.

Denkbar wäre vor allem eine ausdrückliche Einwilligung der Kunden, dass ihre Daten für das Training kundenspezifischer Modelle weiterverwendet werden dürfen.

Sofern eine Anonymisierung der Daten möglich wäre, wäre der Anwendungsbereich der DSGVO gar nicht eröffnet und es bestünden keine datenschutzrechtlichen Anforderungen.

Die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO müssen stets eingehalten werden. Andernfalls ist eine Nutzung nicht erlaubt.

Stand: Januar 2024