Datenschutzcheck für KI-Chatbots
Erste behördliche Handreichung zum Umgang mit Sprach-KI
Während generative Sprach-KI wie ChatGPT und Bard in unserem Alltag immer wichtiger wird, suchen die deutschen Datenschutzbehörden noch nach einer Position zur Bewertung der neuen Techniken. Der Hamburgische Datenschutzbeauftragte hat nun eine Checkliste veröffentlicht, die die Voraussetzungen für den Einsatz von KI definieren soll.
ChatGPT & Co. gehören in Unternehmen, Universitäten, Schulen und vielen anderen Organisationen bereits zum Arbeitsalltag. Dabei ist längst nicht rechtlich geklärt, unter welchen Voraussetzungen generative KI überhaupt eingesetzt werden darf. Juristen stochern oft im Nebel, wenn sie Large Language Models (LLM) einschätzen sollen. Dies gilt insbesondere für die datenschutzrechtliche Bewertung von fremdgehosteten LLMs wie ChatGPT von OpenAI, auf die man über ein Webfrontend, ein API oder innerhalb einer anderen Software zugreift.
Das Problem: Unternehmen wie OpenAI betreiben ihre IT-Infrastruktur meist in Cloudumgebungen US-amerikanischer Provider. Woher die für das Training verwendeten Daten genau stammen, ist oft unklar. Und niemand kann darauf vertrauen, dass die von Nutzern mit ihren Fragen mitgegebenen Informationen nicht auch als Trainingsdaten fungieren. De facto handelt es sich bei den KI-Tools der US-Anbieter häufig um regelrechte Blackboxes – ein Umstand, der Datenschützern wenig behagt und der sich nur schwer mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) vereinbaren lässt.