Darf ich ChatGPT unbeschränkt im Unternehmen einsetzen?
Die Veröffentlichung von ChatGPT im November 2022 hat einen weltweiten Hype ausgelöst. Gleichzeitig wurde damit auch die Debatte rund um den Umgang mit und Regulierung von Künstlicher Intelligenz („KI“) angefacht und vorangetrieben. KI-Tools wie ChatGPT sind dabei nicht nur in Medien und bei Regulierungsbehörden präsent, sondern werden auch zunehmend im beruflichen Alltag eingesetzt.
Dieser Beitrag bietet einen Überblick über ausgewählte rechtliche Aspekte, die bei der Nutzung von ChatGPT im Unternehmen entstehen. Adressiert ist dieser Beitrag an diejenige, die den Textgenerator ChatGPT nutzen und die Ergebnisse verwenden. Bevor jedoch die relevanten rechtlichen Aspekte des Urheberrechts und des Datenschutzes beleuchtet werden, wird zunächst kurz die Funktionsweise von ChatGPT beschrieben. Basierend auf den Ausarbeitungen wird dann beschrieben, in welchen Bereichen ChatGPT im Unternehmen eingesetzt werden kann. Bevor am Ende ein Resümee erfolgt, werden noch einige Tipps für den (rechts-)sicheren Umgang von ChatGPT gegeben.
- 10. Dezember. 2023
Philipp Nöhrer
AI Legal & Compliance Experte
Funktionsweise von ChatGPT
Der Chatbot ChatGPT[1] wurde vom US-amerikanischen Unternehmen OpenAI entwickelt. ChatGPT ist ein umfangreiches Sprachmodell, das mit Einsatz von KI und Machine Learning menschliche Texte generiert und Konversationen simuliert. Dabei greift ChatGPT auf eine umfangreiche Wissensdatenbank zu, die bis September 2021 zurückgeht.
Basierend auf der Eingabe des Nutzers (sogenannt „Prompt“) generiert ChatGPT ein Ergebnis in natürlicher Sprache. Bezüglich der Funktionsweise, wie ChatGPT den Prompt in ein Ergebnis umwandelt, antwortet ChatGPT Folgendes:[2]
- ChatGPT generiert Ergebnisse basierend auf dem eingegebenen Prompt mithilfe eines neuronalen Netzwerks, das auf einem umfangreichen Textkorpus trainiert ist. Wenn ein Benutzer einen Prompt eingibt, analysiert das Modell den Text, um den Kontext zu verstehen. Dabei erfasst es sowohl die unmittelbare Eingabe als auch den Zusammenhang, den es aus seinem Trainingsdatensatz gelernt hat. Anschließend verwendet es dieses Verständnis, um Vorhersagen darüber zu treffen, welche Wörter und Sätze am besten zum gegebenen Prompt passen würden. Das Modell erzeugt dann eine Antwort, indem es Wörter und Phrasen generiert, die logisch und semantisch zum Kontext passen. Dabei achtet es darauf, kohärente und sinnvolle Texte zu erstellen.
[1] GPT steht für Generative Pre-Trained Transformer.
[2] Die Antwort wurde durch den Prompt „Verfasse mir bitte einen Absatz zur Funktionsweise von ChatGPT. Es soll dem Leser erklärt werden, wie basierend auf dem eingegebenen Prompt ChatGPT das Ergebnis generiert.“ am 15.09.2023 vom Modell GPT-3.5 erzeugt.
Urheberrechtliche Aspekte
Können KI-generierte Ergebnisse zu Urheberrechtsverstößen führen?
Rechtlich relevant ist die Frage, ob der durch KI generierte Text zu einer Urheberrechtsverletzung führen kann. Dazu ist wichtig zu wissen, dass ChatGPT keine längeren Textelemente übernimmt. Die Logik von ChatGPT basiert auf einer Mischung aus gespeicherten Inhalten und Erfahrungswerten, welche Inhalte auf welche Fragen typischerweise folgen („Vorhersagen“). Das heißt die Wahrscheinlichkeit ist gering, dass ChatGPT Werke aus den Trainingsdaten 1:1 verwendet. Daher wird ein Urheberrechtsverstoß meist nicht vorliegen, weil wörtliche Strings nicht verwendet bzw diese keine Werkhöhe erreichen. Somit werden Werke Dritter nicht vervielfältigt.
Jedoch ist eine Verletzung von Urheberrechten Dritter oder die Erstellung von Plagiaten nicht zur Gänze ausgeschlossen. Vor allem weiß der Nutzer generell nicht, welches Ausgangsmaterial ChatGPT verwendet hat und woher es stammt.
Erhalte ich einen urheberrechtlichen Schutz an den Ergebnissen von ChatGPT?
Voraussetzung für ein urheberrechtlich geschütztes Werk ist eine eigentümliche geistige Schöpfung etwa auf dem Gebiet der Literatur, die auf einer menschlichen Handlung beruht.
Aufgrund der Funktionsweise entstehen üblicherweise keine Urheberrechte an den von ChatGPT generierten Ergebnissen. Dies deshalb, weil es bei kurzen Texten meist an der Originalität, ansonsten auch an dem menschlichen Urheber fehlt. So urteilte der OGH: „Nur ein Erzeugnis menschlichen Geistes kann urheberrechtlich geschützt sein […] Dient eine Maschine dem Menschen im Rahmen eines urheberrechtlichen Schaffungsprozesses nicht nur als Werkzeug, sondern werden Werke ohne das Eingreifen eines gestaltenden Menschen zB nur vom Computer geschaffen […], liegt […] kein urheberrechtlich schützbares Werk vor“ (OGH 20.09.2011, 4 Ob 105/11m). Letztlich ist ChatGPT ein Werkzeug – so wird Microsoft auch nicht Urheberin der mit Word geschriebenen Werke.
Lediglich in Ausnahmefällen scheint eine eigentümliche geistige Schöpfung denkbar, etwa bei einer längeren Konversation zwischen Nutzer und KI. Entscheidend ist, ob die Chats über das Niveau trivialer Darstellungen von Ereignissen hinausgehen und durch Formgestaltung des Prompts, Auswahl des Ausgansmaterials sowie Weiterentwicklung der Ergebnisse zu einer persönlichen, charakteristischen geistigen Schöpfungen des Nutzers geworden ist. Wird die Urheberschaft des Nutzers bejaht, erhält er einen urheberrechtlichen Schutz an dem gesamten Inhalt des Chatverlaufs.
Anmerkung: Beim zuvor verwendeten Prompt handelt es sich um einen einfachen, generischen Prompt. Dieser wird kaum die Schwelle der geforderten „eigentümlichen geistigen Schöpfung“ im Sinn des Urheberrechts überschreiten.
Datenschutzrechtliche Aspekte
Welche Rolle nehme ich bei der Datenverarbeitung ein, wenn ich ChatGPT nutze?
Ausschlaggebend für die Zuordnung der Rolle ist die Art der Nutzung. Dazu unterscheidet OpenAI zwischen zwei Arten von Inhalten:
1. „Non-API-Content“ wird vor allem über den Web-Browser von Endkunden genutzt. Hier ist OpenAI datenschutzrechtlicher Verantwortlicher und die Nutzung erfolgt gemäß der Datenschutzerklärung („Privacy Policy“[1]) von OpenAI.
2. „API-Content“ wird für Unternehmen über eine API-Plattform angeboten, damit diese ChatGPT in ihren eigenen Diensten integrieren können. Integriert ein Unternehmen die GPT-Technologie über die OpenAI-API in ihr Produkt, wird das Unternehmen zum Verantwortlichen und OpenAI ist Auftragsverarbeiter.
Verwendet OpenAI die eingegebenen Prompts zu Trainingszwecke?
Ja. Wird ChatGPT als „Non-API-Service“ vom Endkunden genutzt, können laut Nutzungsbedingungen („Terms of Use“[2]) die Inhalte zur Entwicklung und Verbesserung von ChatGPT verwendet werden (Ziffer 3 lit c Terms of Use). Das heißt OpenAI ist berechtigt, die von den Nutzern zur Verfügung gestellten Prompts zum Training ihrer Modelle zu verwenden, um ihre Services zu verbessern (Ziffer 2 am Ende Privacy Policy). Die gute Nachricht ist, dass Nutzer die Möglichkeit haben, dieser Verwendung zu widersprechen. Die Abmeldung erfolgt durch das Ausfüllen eines Webformulars.[3]
Dahingegen verwendet ChatGPT in der API-Content-Version keine Inhalte zu Trainings- bzw Verbesserungszwecke des Services.
Was ist aus datenschutzrechtlicher Sicht bei der Nutzung des OpenAI-API-Services zu beachten?
Nutzt ein Unternehmen OpenAI-API, ist sie als Verantwortliche für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Das heißt das Unternehmen braucht eine Rechtsgrundlage nach Art 6 Abs 1 DSGVO, wenn personenbezogene Daten verarbeitet werden sollen.
Gleichzeitig entsteht ein Auftragsverhältnis zwischen dem einsetzenden Unternehmen als Verantwortliche und OpenAI als Auftragsverarbeiter. In diesem Fall stellt OpenAI ihr eigenes Data Processing Agreement („DPA“) zur Verfügung, das gesondert abgeschlossen werden muss.[4] Hinsichtlich DPA akzeptiert OpenAI keine fremden oder überarbeitete Versionen, weshalb die Fassung von OpenAI zu übernehmen ist.
Wo speichert OpenAI die Daten?
Laut eigenen Angaben verarbeitet und speichert OpenAI die Daten in den USA (Ziffer 9 Privacy Policy). Somit kommt es zu einer Datenübermittlung in ein Drittland, wofür eine geeignete datenschutzrechtliche Grundlage gemäß Art 44 ff DSGVO erforderlich ist.
Durch das Inkrafttreten des EU-US Data Privacy Frameworks im Juli 2023 besteht wieder ein Angemessenheitsbeschluss für die Datenübermittlung zwischen der EU und den USA. Sind Organisationen nach dem Framework zertifiziert, kann der Angemessenheitsbeschluss als Grundlage für die Datenübermittlung dienen. Zum Zeitpunkt der Beitragserstellung (26.09.2023) liegt für OpenAI keine Zertifizierung vor.[5] Um dieses Defizit auszugleichen, hat OpenAI Standardvertragsklauseln in ihrem DPA integriert.
Welche datenschutzrechtlichen Aspekte sind bei der Nutzung von ChatGPT noch zu beachten?
Möchte ein Unternehmen ChatGPT verwenden, um personenbezogene Daten zu verarbeiten, können damit hohe Risiken für betroffene Personen verbunden sein. Daher kann es notwendig (und sinnvoll) sein, eine Datenschutz-Folgenabschätzung durchzuführen.
Des Weiteren muss das Unternehmen über die Datenverarbeitung durch ChatGPT aufklären. Dies hat in der Regel durch eine Datenschutzerklärung zu erfolgen. Darin muss informiert werden, wie und zu welchen Zwecke die Daten der Nutzer vom Unternehmen bzw OpenAI verarbeitet, wie lange diese gespeichert werden und wie die Betroffenenrechte ausgeübt werden können.
[1] Die Privacy Policy von OpenAI ist abrufbar unter https://openai.com/policies/privacy-policy (Stand 26.09.2023).
[2] Die Terms of Use von OpenAI ist abrufbar unter https://openai.com/policies/terms-of-use (Stand 18.09.2023).
[3] Das Webformular “User Content Opt Out Request” ist abrufbar unter https://docs.google.com/forms/d/e/1FAIpQLScrnC-_A7JFs4LbIuzevQ_78hVERlNqqCPCt3d8XqnKOfdRdQ/viewform?pli=1 (Stand 18.09.2023).
[4] Der Abschluss des Data Processing Agreements kann unter https://openai.com/policies/data-processing-addendum (Stand 18.09.2023) beantragt werden.
[5] Die Überprüfung erfolgt anhand der Suchabfrage „OpenAI“ in der Data Privacy Framework List unter https://www.dataprivacyframework.gov/s/participant-search.
Einsatzgebiete ChatGPT
In welchen Bereichen kann ChatGPT eingesetzt werden?
Prinzipiell kann ChatGPT in allen Bereichen eingesetzt werden, in denen Texte generiert, aufbereitet oder nach Inhalten gesucht wird. Jedoch sind abhängig vom Einsatzbereich auch Risiken mit dem Einsatz verbunden.
Nachfolgend eine Risikoeinschätzung von Bereichen, in denen ChatGPT grundsätzlich eingesetzt werden kann, jedoch nicht immer empfehlenswert ist:
Einsatzgebiet | Beschreibung | Risiko |
---|---|---|
Marketing und Content-Creation | ChatGPT kann für Newsletter oder Social Media Inhalte genutzt werden. Richtigkeitsprüfung notwendig. Aus Urheberrechtsgründen sollten Ergebnisse als Inspiration dienen; 1:1 Übernahme verhindert Urheberschaft, da gegenüber Dritter keine Berufung auf Urheberrecht möglich ist. | gering |
Übersetzungen | Ebenso kann ChatGPT für Übersetzungen von öffentlich zugänglichen Texten (zB auf der Homepage oder von Blog-Posts) verwendet werden. | gering |
Software-Entwicklung | Bei Software-Entwicklung mit ChatGPT auf Prompts achten. Fehlerhafte Source Codes können Geschäftsgeheimnisse gefährden. Erhöhte Vorsicht, um Leaks zu verhindern (zB durch die Ausgabe bei anderen Nutzern). | mittel |
Datenanalyse bzw. -management | Unklare Datenverarbeitung bei ChatGPT. Deshalb grundsätzlich keine firmeninternen/sensiblen Daten eingeben, besonders für Analysezwecke. Anonymisierung hilft, aber Datenschutzrisiken durch Fehler oder fehlende Rechtsgrundlage möglich. | hoch |
Tipps
Tipps für den (rechts-)sicheren Umgang von ChatGPT
Zum Schluss stellen wir noch wertvolle Tipps und Strategien vor, die helfen sollen, ChatGPT sicher zu nutzen und vor potenziellen Risiken zu schützen:
- Keine personenbezogenen Daten, eigene urheberrechtlich geschützte Werke, sonstige sensible Informationen oder Geschäftsgeheimnisse vom eigenen Unternehmen oder von Dritten (zB Kunden) in ChatGPT eingeben.
- Webformular zum Opt-Out für die Verwendung der Daten zu Training- und Verbesserungszwecken absenden.
- Bevor ein KI-System eingesetzt wird (oder werden soll), ist die vertragliche Grundlage des Anbieters (zB Terms of Use, Privacy Policy etc) genau zu prüfen. Bei der Prüfung ist ein Verständnis über die technische Funktionsweise des Systems hilfreich. Des weiteren kann es erforderlich sein, weitere Stellen im Unternehmen beizuziehen, wie etwa den Datenschutzbeauftragten oder Informationssicherheitsbeauftragten. In diesem Zusammenhang empfiehlt sich auch eine Datenschutz-Folgenabschätzung durchzuführen.
- Verabschiedung einer AI Use Policy für Mitarbeiter. Darin sind klare Regeln für die Nutzung von KI-Systeme enthalten (zB erlaubte Zwecke, Anforderungen an Prompts, Verwendung der Ergebnisse, Systemeinstellungen etc).
- Durchführung von Schulung und Sensibilisierungsmaßnahmen der Mitarbeiter.
- Kontrolle der KI-generierten Ergebnisse auf deren Richtigkeit, bevor diese verwendet werden.
- Aus urheberrechtlichen Gründen ist es sinnvoll, die Ergebnisse des KI-Systems lediglich als Grundlage und Inspiration zu verwenden.
- Prüfung, ob interne Prozesse bzw Dokumente anzupassen sind. Denkbar wären etwa die Datenschutzerklärung, das Verzeichnis der Verarbeitungstätigkeiten, Dienstverträge etc.
Resümee und Ausblick
Der Einsatz von ChatGPT im Unternehmen ist mit zahlreichen rechtlichen Risiken verbunden. Eine der größten Hürden ist hierbei der Datenschutz. So sperrte im April 2023 etwa die italienische Datenschutzbehörde den Zugriff auf ChatGPT. Auch in der EU sind KI-Systeme in den Fokus der nationalen Datenschutzbehörden gerückt. Damit steigt auch die Sorge bei Unternehmen und Nutzern. Zeitgleich schreiten die aktuellen Regulierungsansätze auf EU-Ebene weiter voran. Dazu zählen vor allem der AI Act sowie die KI-Haftungsverordnung.
Jedoch können Unternehmen auch heute KI-Textgeneratoren wie ChatGPT im Unternehmen einsetzen, wenn sie wissen wie. Werden beispielsweise keine personenbezogenen Daten oder Geschäftsgeheimnisse bei ChatGPT eingegeben, verstoßen Unternehmen auch nicht gegen die DSGVO oder Geheimhaltungsvereinbarungen. Daher sind Unternehmen gut beraten, Richtlinien für die Nutzung von KI-Systemen zu erlassen. Darin sollten erlaubte Einsatzgebiete benannt und Vorgaben für den Umgang mit personenbezogenen Daten bzw Geschäftsgeheimnisse gemacht werden. Des weiteren sollten Unternehmen genau prüfen, welche technischen und organisatorischen Maßnahmen das KI-System anbietet und entsprechende Handlungen ergreifen (zB Opt-Out für Trainingszwecke).
Wenn Sie mehr erfahren möchten, wie Leftshift One mit MyGPT unternehmensinternes Wissen verfügbar macht, schauen Sie hier vorbei.