KI und Datenschutz: Was Du beim Einsatz von ChatGPT am Arbeitsplatz beachten solltest

In diesem Blogartikel erfährst Du…

… welche Daten besonders schützenswert sind,

… wie Deine Daten in den verschiedenen Versionen von ChatGPT geschützt werden,

… und welche Faktoren Du bei einer Entscheidung über den Einsatz von KI abwägen solltest.

Die generative KI ChatGPT verzeichnet inzwischen über 100 Millionen aktive Nutzer – Privatpersonen und Unternehmen. Gerade innovationsfreudige und engagierte Personen suchen nach Wegen, KI auch in ihrem beruflichen Alltag strategisch einzusetzen. Der Einsatz von KI-Modellen am Arbeitsplatz bietet ein großes Potenzial, Innovation und Effizienz in bestehende Prozesse zu bringen und gerade mühselige und manuelle Aufgaben zu beschleunigen. Softwareentwickler können ChatGPT z. B. als Entwicklungshilfe, zur Problemlösung oder für Code-Reviews nutzen, Product Owner können ganze User Stories generieren lassen.

Doch jeder, der ChatGPT schon einmal verwendet hat, weiß: Das Ergebnis ist nur so gut wie der Prompt. Je genauer ich ChatGPT meine Anforderungen und den notwendigen Kontext erkläre, desto hilfreicher das Ergebnis. Gerade bei komplexen Themen, wie z. B. Softwareprodukten, ist eine Menge Kontextwissen erforderlich, um gute Ergebnisse zu erzielen. Und spätestens hier stellt sich die Frage, ob eingegebene Daten hinreichend geschützt werden.

Dieser Blogartikel stellt keine Rechtsberatung für dieses komplexe Thema dar. Aber wir wollen Dir einen Überblick über die Verwendung Deiner Daten in den verschiedenen ChatGPT-Versionen geben und Dir zeigen, worauf Du achten solltest. Mit ein paar Vorsichtsmaßnahmen bist Du auf jeden Fall schonmal sicherer unterwegs.

Welche Daten müssen geschützt werden?

Personenbezogene Daten

Aktuell untersuchen Datenschutzbehörden in mehreren Ländern, ob KI-Betreiber wie Open AI geltende Gesetze einhalten. Der Fokus liegt hier vor allem auf dem Umgang mit personenbezogenen Daten und der Frage, ob dieser der Datenschutzgrundverordnung (DSGVO) entspricht.

Ein DSGVO-konformer Umgang sieht vor, dass personenbezogene Daten

• nur mit zweckbezogener Einwilligung erhoben werden dürfen,
• sicher aufbewahrt werden müssen,
• transparent und nachvollziehbar verwendet werden,
• und auf Anfrage gelöscht werden können.

Dies ist problematisch, wenn Nutzer personenbezogene Daten ohne Kenntnis der betroffenen Personen verwenden und den Zugriff auf eingegebene Daten verlieren, indem sie die Daten an Dritte (wie OpenAI) weitergeben.

Der einfachste Tipp: Eingaben am besten immer anonymisieren und Daten von Mitarbeitenden und Kunden, wie Namen oder Emailadressen, nicht bei ChatGPT eingeben. Das erschwert es jedoch oft, KI strategisch in den Arbeitsalltag zu integrieren. Um dies zu ermöglichen und ChatGPT DSGVO-konform zu verwenden, ist der Abschluss eines Auftragsverarbeitungsvertrages notwendig.

Unternehmens- und Produktgeheimnisse

Auch wenn Unternehmen verpflichtet sind, DSGVO-konform mit personenbezogenen Daten umzugehen, fängt für die meisten das Thema Datenschutz hier erst richtig an. Was Unternehmen wirklich wichtig ist: Ihre Produktgeheimnisse bewahren. Das Wissen, was in Softwareprodukten steckt, ist eines der wertvollsten Güter eines Softwareproduktunternehmens. Deswegen ist die Vorstellung, dass andere Zugriff auf die Produktstrategie, die Dokumentation oder gar den Code erhalten, ein absoluter Albtraum. Unternehmen fragen sich:

• Werden eingegebene Daten von OpenAI zum Lernen verwendet?
• Wer hat Zugriff auf eingegebene Informationen (Input) und die mithilfe dieser Daten generierten Inhalte (Output)?
• Werden eingegebene Daten an Dritte mit kommerziellen Interessen (z. B. Wettbewerber) weitergegeben?

Diese Fragen sind berechtigt und ein unbedachter Einsatz von KI-Modellen kann zu großen Datenschutzpannen führen. Worauf müssen Unternehmen also achten?

Datenschutz in den verschiedenen ChatGPT Versionen

Die Antworten auf diese Fragen fallen unterschiedlich aus, je nachdem, welche Version von ChatGPT verwendet wird. Die Unterschiede sind zum Teil beachtlich und sollten gerade bei der Verwendung von ChatGPT am Arbeitsplatz berücksichtigt werden. ChatGPT wird in verschiedenen Versionen angeboten: Von der kostenlosen Version „ChatGPT Free“ oder der kostenpflichtigen Version „ChatGPT Plus“ für Privatpersonen bis hin zu Versionen für Unternehmen wie „ChatGPT Team“, „ChatGPT Enterprise“ oder „OpenAI API“. Die OpenAI Datenschutzrichtlinien beschreiben, wie eingegebene Daten geschützt und verwendet werden. Jedoch gilt zu beachten, dass Datenschützer keine detaillierten Einblicke in die tatsächliche Verwendung dieser Daten durch OpenAI haben. Die Entscheidung, den Angaben von OpenAI zu vertrauen, bleibt jedem selbst überlassen.

Zunächst wollen wir Dir einen Überblick über verfügbare Modelle verschaffen:

Siehe auch Übersicht bei Vischer.

Bei der Verwendung der kostenlosen Version „ChatGPT Free“ genehmigen Nutzer OpenAI standardmäßig, eingegebene Daten weiterzuverwenden. Dies lässt sich manuell auch strenger einstellen, sodass Chats nicht mehr gespeichert und private Daten nicht zum Training der KI verwendet werden (Klick auf Anmeldename – Settings – Data Controls). Eingegebene Daten werden jedoch erst nach 30 Tagen gelöscht.

Ein Auftragsdatenverarbeitungsvertrag kann weder bei der kostenlosen Version „ChatGPT Free“ noch der bezahlten Version „ChatGPT Plus“ mit OpenAI abgeschlossen werden. Damit eignet sich keine der beiden Versionen für die Arbeit mit personenbezogenen Daten oder vertraulichen Unternehmensdaten. Um KI strategisch und effizient in die eigene Arbeit zu integrieren, ist dies jedoch beinahe unerlässlich.

Hier kommen die Versionen für Unternehmen ins Spiel. Bei den Versionen „ChatGPT Enterprise“, „ChatGPT Team“ und „OpenAI API“ kann ein Auftragsdatenverarbeitungsvertrag bzw. Data Processing Addendum (DPA) mit OpenAI abgeschlossen werden. Damit verpflichtet sich OpenAI, eingegebene Daten vertraulich zu behandeln und nicht zu weiteren Zwecken zu verwenden (z. B. Training der KI).

Diese Maßnahmen ermöglichen unserer Ansicht nach einen datenschutzkonformen Einsatz von KI im Unternehmen, auch wenn jedes Unternehmen (wie im Umgang mit anderen Anbietern und Dienstleistern auch) selbst entscheiden muss, ob es OpenAI vertraut, diese Vereinbarungen einzuhalten. Insbesondere Dienstleister, die mit in besonderer Art schützenwerten Amts- und Berufsgeheimnissen arbeiten, wie z. B. Ärzte und Banken, sollten sich vor der Verwendung von KI-Tools über die für sie geltenden Datenschutzregelungen informieren. Im Kontext der Softwareentwicklung gehört es jedoch bereits zum Alltag, im Rahmen eines Auftragsverarbeitungsvertrags mit Dienstleistern wie Cloud-Computing-Diensten oder SaaS-Tools zusammenzuarbeiten. Das Thema KI ist zwar noch relativ neu, jedoch gehen wir davon aus, dass auch KI-Betreiber wie OpenAI sich wie andere große Player, z. B. Google oder Microsoft, langfristig im Unternehmensalltag etablieren werden.

Natürlich bleibt es jedoch trotz der Verwendung einer ChatGPT-Version für Unternehmen nicht aus, sich selbst und auch Kollegen über einen sicheren Umgang mit den verwendeten Daten zu informieren und die Technik den Vorgaben entsprechend zu nutzen.

Datenschutz beachten und trotzdem wettbewerbsfähig bleiben – geht das?

Insgesamt zeigt sich, dass OpenAI bemüht ist, den Einsatz von KI im Unternehmen zu ermöglichen und datenschutzkonforme Lösungen bereitzustellen. Ein Restrisiko verbleibt – und muss mit dem potenziellen Nutzen des Einsatzes von KI abgewogen werden. Diese Entscheidung ist nicht einfach. Zum einen wollt ihr im Umgang mit dieser noch neuen Technologie nichts überstürzen, vielleicht erstmal Erfahrungen sammeln, abwarten. Zum anderen setzen andere, vielleicht sogar Wettbewerber, KI bereits strategisch ein und ziehen damit geradewegs an Euch vorbei.

Um zu entscheiden, wie ihr KI einsetzen wollt, könnt ihr Euch z. B. folgende Fragen stellen:

• Wie sehr steigert KI die Effizienz des Teams?
• Welche Folgen müssen wir in Kauf nehmen, wenn wir auf den Einsatz von KI verzichten?
• Welche unserer Daten sind so kritisch, dass sie keinem Dritten in die Hände fallen dürfen?
• Welche Aufgaben eigenen sich, um den Einsatz von KI im Team zu testen?

Entscheidend ist, den Schutz Eurer Daten im Blick zu behalten und im Einzelfall zu prüfen, für welche Aufgaben ihr KI nutzen und welche Kontextinformationen ihr der KI in Form von Daten zur Verfügung stellen könnt. Geht kleine, aber zumindest erste Schritte.

Und nicht vergessen: ChatGPT ist erst der Anfang. Inzwischen gibt es KI-Modelle, die auf spezifische Use Cases ausgerichtet sind und sich in Eure bestehende Arbeitsumgebung integrieren lassen – viele von ihnen bauen über die OpenAI API auf ChatGPT auf. Auch unser Product Copilot für Jira verwendet eine OpenAI API und ermöglicht es Product Ownern so, spielend leicht präzise und prägnante User Stories zu erstellen. Eine leistungsstarke KI, die Euer Produkt kennt und in Eure bestehenden Tools (z. B. Jira) integriert ist.