{"id":1685,"date":"2023-07-03T13:11:26","date_gmt":"2023-07-03T11:11:26","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1685"},"modified":"2023-07-03T13:11:27","modified_gmt":"2023-07-03T11:11:27","slug":"nutzung-von-ki-anwendungen-im-unternehmen-zum-aktuellen-stand-der-datenschutzrechtlichen-debatte","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1685&lang=de","title":{"rendered":"Nutzung von KI-Anwendungen im Unternehmen: zum aktuellen Stand der datenschutzrechtlichen Debatte"},"content":{"rendered":"\n<p>K\u00fcnstliche Intelligenz (KI) gilt derzeit als Schl\u00fcsseltechnologie, von deren effektiver und effizienter Nutzung die Innovations- und Wettbewerbsf\u00e4higkeit von Unternehmen in entscheidendem Ma\u00dfe mit bestimmt wird. Immer neue KI-Anwendungen halten gerade Einzug in den Unternehmensalltag. Zeit, unsere Kunden \u00fcber den aktuellen Stand der datenschutzrechtlichen Debatte zu informieren.<br>&nbsp;<br><strong>KI-Anwendungen: Fluch oder Segen?<\/strong><br>Beispiel einer aktuell viel diskutierten KI-Anwendung ist \u201eChatGPT\u201c. Seit Ende 2022 offiziell am Markt, erreichte der Dienst bereits in den ersten 5 Tagen nach Start 1 Million Nutzer. Ziel des Anbieters OpenAI war es, mit diesem Projekt k\u00fcnstliche Intelligenz zu erforschen und sie zum Wohl der Menschheit weiterzuentwickeln.<br>&nbsp;<br>ChatGPT erm\u00f6glicht \u2013 wie auch die Wettbewerber \u201eOPT\u201c von Meta oder \u201eBart\u201c von Google \u2013 eine vereinfachte Erstellung, Bearbeitung und \u00dcbersetzung von Texten und Grafiken aller Art. Nutzer und Nutzerinnen k\u00f6nnen mit dem sprach- und textbasierten Chatbot zu jedem nahezu erdenklichen Thema in einen Dialog treten, ein Ergebnis ist in Sekundenschnelle verf\u00fcgbar. Soweit, so gut\u2026<br>&nbsp;<br>Die Interaktion mit dem Chatbot bedeutet aber auch, das jedes Gespr\u00e4ch und jede Eingabe der Nutzer Teil der Trainingsdaten des Anbieters wird und entsprechend gespeichert und weiterverarbeitet werden kann. Denkt man z.B. an das Erstellen von Fake-News, Phishing-Mails oder Schadsoftware, so bergen KI-Anwendungen also durchaus Gefahren.&nbsp;<br>&nbsp;<br>Die Entwicklung in diesem Bereich ist rasant. Phishing-Angriffe werden zunehmend personalisierter und pr\u00e4ziser. Gerade bei gesch\u00e4ftlicher Nutzung sollten Unternehmen daher Themen wie Identit\u00e4tsdiebstahl und Betrug im Auge behalten und sich regelm\u00e4\u00dfig \u00fcber eine sichere und datenschutzkonforme Nutzung informieren.<br>&nbsp;<br><strong>Wir wollen f\u00fcr Sie im folgenden einige Fragen beleuchten, die aus unserer Sicht datenschutzrechtlich derzeit von besonderer Bedeutung sind:&nbsp;<\/strong><br>&nbsp;<br>Wie geht das europ\u00e4ische Datenschutzrecht z.B. damit um, dass zur Erstellung von KI-Modellen in der Regel fremde Texte und Bilder und damit personenbezogene Daten ganz ohne vorherige Einwilligung der Betroffenen genutzt werden? Und sind sich die Nutzer von KI-Diensten dar\u00fcber im Klaren, dass Ihre Eingabebefehle (&#8222;Prompts&#8220;) von den Anbietern f\u00fcr die Weiterentwicklung ihrer Software weiter genutzt werden, wie es sich h\u00e4ufig aus den Nutzungsbedingungen der Dienste ergibt? Wie ist ein datenschutzkonformer Einsatz von KI-Diensten m\u00f6glich? Wie steht es um die Unterlassungsverf\u00fcgung der italienischen und deutschen Datenschutzbeh\u00f6rden gegen ChatGPT?<br>&nbsp;<br><strong>Grunds\u00e4tzlich gilt f\u00fcr die Verarbeitung personenbezogener Daten:&nbsp;<\/strong><br>Anbieter von Anwendungen, die personenbezogene Daten verarbeiteten, sind nach der DSGVO dazu verpflichtet, die daf\u00fcr geltenden Voraussetzungen einzuhalten und die Betroffenen \u00fcber den Zweck der Datenverarbeitung zu informieren. Dar\u00fcber hinaus sind sensible Daten wie Gesundheitsdaten, Informationen \u00fcber sexuelle Identit\u00e4t und Weltanschauung von der Datenverarbeitung ausgeschlossen.<br>&nbsp;<br>Daten spielen bei KI-Anwendungen eine entscheidende Rolle, denn nur aus gro\u00dfen Mengen zur Verf\u00fcgung gestellter Datens\u00e4tze kann ein Algorithmus nachhaltig lernen. Somit werden alle \u2013 auch personenbezogene \u2013 Daten, die dem Chatbot offengelegt werden, Teil des Textkorpus, der zu Trainingszwecken des Systems genutzt wird. Eine explizite Einwilligung \u00fcber die Verarbeitung der Daten nach der DSGVO wird im Fall von ChatGPT und auch bei anderen Diensten bislang nicht eingeholt, au\u00dferdem werden die Nutzer dar\u00fcber nicht ausreichend informiert.<br>&nbsp;<br><strong>Wie verantwortliche EU Datenschutzbeh\u00f6rden reagieren:<\/strong><br>Als amerikanisches Unternehmen hat OpenAI keine Niederlassung in der EU. Aufgrund der Verarbeitung personenbezogener Daten europ\u00e4ischer Nutzer sind die europ\u00e4ischen Datenschutzaufsichtsbeh\u00f6rden dennoch zust\u00e4ndig und haben zum Teil bereits Verfahren gegen OpenAI er\u00f6ffnet.<br>&nbsp;<br>Darunter ist zun\u00e4chst die&nbsp;<em><u>Italienische Datenschutzaufsichtsbeh\u00f6re GPDP<\/u><\/em>,&nbsp;welche tats\u00e4chlich bereits eine Untersagungsverf\u00fcgung in Bezug auf ChatGPT gegen OpenAI erlassen hat. Eine Rechtsgrundlage f\u00fcr die Verarbeitung personenbezogener Daten durch OpenAI sei n\u00e4mlich nicht erkennbar. Insbesondere k\u00e4me daf\u00fcr eine Einwilligung in Betracht, eine solche Einwilligung wird aber von OpenAI bislang nicht eingeholt und es erfolgt auch keine Information dar\u00fcber, dass die Daten von Nutzern und Nicht-Nutzern ohne ihr Wissen zum Training des Algorithmus genutzt werden.&nbsp;<br>&nbsp;<br><strong>Auch deutsche Beh\u00f6rden sehen dies \u00e4hnlich:<\/strong><br>Sowohl der&nbsp;<em><u>Hessische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit<\/u><\/em>&nbsp;als auch der&nbsp;<em><u>Landesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit Baden W\u00fcrtemberg<\/u><\/em>&nbsp;&nbsp;haben bei OpenAI bereits im April eine Stellungnahme angefordert, wie ChatGPT datenschutzrechtlich ausgestaltet ist. Eine Antwort des umfassenden Fragenkatalos wird f\u00fcr Mitte Juni erwartet, die Bewertung soll dann nach entsprechender R\u00fcckmeldung erfolgen. Ein einheitliches Vorgehen auf europ\u00e4ischer Ebene wird dabei angestrebt. Die Erwartungshaltung der Beh\u00f6rden ist aber, dass amerikanische KI-Anbieter den gleichen Datenschutz gew\u00e4hrleisten wie europ\u00e4ische Unternehmen.<br>Eine Untersagung von ChatGPT ist hierzulande aktuell zumindest nicht geplant, die Antwort von OpenAI wird jedoch mit Spannung erwartet. Parallel erarbeitet die EU bereits ein f\u00fcr alle Mitgliedsstaaten g\u00fcltiges, praxistaugliches Regelwerk f\u00fcr die Nutzung von KI-Anwendungen in Europa.&nbsp;<br>&nbsp;<\/p>\n\n\n\n<p><strong>WEBINAR ANK\u00dcNDIGUNG<\/strong><\/p>\n\n\n\n<p><br>Um gemeinsam mit Ihnen die rechtlichen Grenzen der Nutzung k\u00fcnstlicher Intelligenz zu diskutieren, bieten wir von ePrivacy am Donnerstag, den <strong>13. Juli 2023 um 12.00 Uhr<\/strong> gemeinsam mit unserer&nbsp;<strong>Partnerkanzlei UNVERZAGT Rechtsanw\u00e4lte<\/strong>&nbsp;ein&nbsp;Webinar zum Thema an:<\/p>\n\n\n\n<p><strong>\u201cRechtliche Grenzen der Nutzung K\u00fcnstlicher Intelligenz \u2013\u00a0Was ist der aktuelle Stand?\u201c<\/strong><\/p>\n\n\n\n<p>Referent:\u00a0<strong>Rechtsanwalt Dr. Lukas Mezger<\/strong> <\/p>\n\n\n\n<p>Halten Sie sich diesen Termin gerne schon einmal frei. N\u00e4here Informationen dazu erhalten Sie in den n\u00e4chsten Tagen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>K\u00fcnstliche Intelligenz (KI) gilt derzeit als Schl\u00fcsseltechnologie, von deren effektiver und effizienter Nutzung die Innovations- und Wettbewerbsf\u00e4higkeit von Unternehmen in entscheidendem Ma\u00dfe<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1685&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1685"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1685"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1685\/revisions"}],"predecessor-version":[{"id":1686,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1685\/revisions\/1686"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1685"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1685"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1685"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}