FachartikelLegal KI & ChatGPT

KI & Recht – Richtlinien für die rechtssichere Nutzung von ChatGPT

Der Einsatz von ChatGPT und anderen generativen KI-Systemen (z.B. Midjourney, DALL-E) wird nicht nur in den Medien derzeit intensiv diskutiert, sondern auch in zahlreichen Unternehmen geprüft. Die kürzliche Meldung, dass die italienischen Datenschutzbehörden ChatGPT wegen daten- und jugendschutzrechtlicher Bedenken in Italien gesperrt haben, hat dabei einige Verunsicherung ausgelöst. Nachdem ChatGPT aufgrund verschiedener Nachbesserungen auch in Italien wieder „erlaubt“ worden ist, prüfen derzeit auch verschiedene deutsche Datenschutzbehörden, inwieweit ChatGPT den Vorgaben der Datenschutzgrundverordnung (DSGVO) genügt.

Funktionsweise und Einsatzmöglichkeiten von ChatGPT

Für eine rechtliche Bewertung des Einsatzes von ChatGPT in Unternehmen und anderen Institutionen (zB. öffentliche Stellen) muss zunächst die Funktionsweise des Generative Pre-Trained Model (GPT) betrachtet und verstanden werden. ChatGPT basiert auf einem „Large Language Model“, welches mit großen Datenmengen aus dem Internet vortrainiert wurde und mit einem selbstlernenden Algorithmus ausgestattet ist.

Dabei erzeugt das Programm auf der Grundlage des Inputs des Nutzers (sog. Prompts) einen Text, indem es jeweils das zu dem Input wahrscheinlich am besten passende nächste Wort angibt. Insoweit ist die Funktionsweise durchaus mit einer (sehr ausgereiften) „Autocomplete-Funktion“ vergleichbar. Diese auf Wahrscheinlichkeiten basierende Funktionsweise führt dazu, dass der jeweilige Output zwar statistisch wahrscheinlich, aber eben nicht unbedingt inhaltlich richtig ist. Gleichwohl sind die Antworten von ChatGPT bereits von beeindruckender Qualität. Neben dem Einsatz von ChatGPT, um die Erstellung und Gestaltung von Texten effektiver zu gestalten, bestehen eine Vielzahl weiterer Einsatzmöglichkeiten in und für Unternehmen.

Rechtliche Anforderungen hängen vom konkreten Einsatz ab

Die Rückfragen bei verschiedenen Vorträgen und Webinaren zu ChatGPT und anderen Künstlichen Intelligenzen zeigen die große Verunsicherung zur rechtlichen Zulässigkeit des Einsatzes von ChatGPT. Dabei hängen die rechtlichen Anforderungen, wie auch die Kritikalität vom konkreten Einsatz solcher KI-Systeme ab. Bei entsprechend klar definierten Anwendungsfällen lassen sich die rechtlichen Implikationen in der Regel sinnvoll beschreiben und oft auch sinnvoll regeln.

Dazu sollten Unternehmen zunächst prüfen und konkret definieren, ob, wie und welche KI-Systeme eingesetzt werden (können) sollen. Aus rechtlicher Sicht erscheint es durchaus problematisch, wenn die eigenen Mitarbeiter selbst entscheiden, welche KI-Systeme zu welchen Zwecken eingesetzt werden. Neben datenschutzrechtlichen Risiken kann dies beim Einsatz generativer KI-Systeme (z.B. bei Bildgeneratoren) auch zu urheberrechtlichen Ansprüchen gegen das Unternehmen führen (siehe dazu den früheren Blogbeitrag ChatGPT & Co – Urheberrecht bei Werken der Künstlichen Intelligenz (KI))

Zukünftig werden auch die KI-Verordnung (sog. AI Act), die von der Europäischen Union wohl noch dieses Jahr beschlossen werden wird, bzw. Haftungsfragen (siehe etwa den Vorschlag der Europäischen Kommission einer KI-Haftungs-Richtlinie (sog. AI Liability Directive)) zu beachten sein (siehe dazu unser Video „Rechtsfragen zu ChatGPT und künstlichen Intelligenzen“ und unser Video „AI Act: EU-Verordnung zu künstlicher Intelligenz (KI) in 3 Minuten erklärt“.)

Wenn sich die Geschäftsführung oder einzelne Fachabteilungen für den Einsatz generativer KI-Systeme entscheiden, sollten den Mitarbeitern deshalb geeignete Richtlinien an die Hand gegeben werden, um rechtliche Risiken für Mitarbeiter und das Unternehmen zu vermeiden bzw. zumindest zu reduzieren.

Richtlinien für den Einsatz von ChatGPT

Nachdem der Deutsche Journalisten Verband (DJV) bereits klare Richtlinien für den Einsatz von ChatGPT für journalistische Inhalte gefordert hat und erste Hochschulen ausdrückliche Regeln für Studenten und Dozenten eingeführt haben, sollten auch Unternehmen den Einsatz von ChatGPT oder anderen generativen KI-Systemen mit Richtlinien steuern. Geeignete Unternehmensrichtlinien können einen wesentlichen Beitrag leisten, die Mitarbeiter in die Einhaltung der gesetzlichen – oder unternehmenseigenen – Bestimmungen einzubeziehen. Gerade diese Personengruppe ist als wichtiger Adressat (z.B. bei der Einhaltung der DSGVO) anzusehen, da ihre Tätigkeit in einer digitalisierten Arbeitswelt zunehmend auch einen Einsatz von KI-Systemen erfordern dürfte. Die notwendige Einbeziehung der Mitarbeiter sollte sich in einem ersten Schritt durch eine umfassende Information über bestehende Ge- und Verbote (z.B. durch Richtlinien und/oder Schulungen) vollziehen.

Bei der Gestaltung entsprechender Unternehmensrichtlinien für ChatGPT sollte – im Hinblick auf die Weiterverarbeitung der Nutzereingaben und der Möglichkeit des Abschlusses eines Data Processing Addendum mit OpenAI – zwischen dem Einsatz der kostenlosen Variante und der Pro-Version unterschieden werden.

Dabei sollten im Zusammenhang mit dem Einsatz von ChatGPT insbesondere folgende Aspekte adressiert bzw. geregelt werden:

1. BESCHREIBUNG ZULÄSSIGER EINSATZZWECKE


Zunächst sollte beschrieben werden, zu welchen Zwecken ChatGPT und/oder etwaige andere zugelassene generative KI-Tools (z.B. Bildgeneratoren) eingesetzt werden können soll. Optional könnten konkret unerwünschte Anwendungsszenarien oder KI-Tools auch verboten werden.

2. BESCHRÄNKUNG DER NUTZUNG AUF GESCHÄFTLICHE ZWECKE


Insbesondere wenn die kostenpflichtige Pro-Version von ChatGPT eingesetzt wird, sollte die Nutzung im Unternehmen ausdrücklich auf geschäftliche Zwecke beschränkt werden.

3. KEINE EINGABE PERSONENBEZOGENER DATEN BEI CHATGPT


Personenbezogene Daten (z.B. Kunden- oder Mitarbeiterdaten) dürfen über KI-Systeme wie ChatGPT nur verarbeitet werden, wenn ein Erlaubnistatbestand des Art. 6 DSGVO die Verarbeitung legitimiert und die Betroffenen gemäß Art. 13 DSGVO oder Art. 14 DSGVO informiert worden sind. Bei einer Verarbeitung über einen „Internetdienst“ wie ChatGPT müsste zudem wohl ein Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO mit dem Anbieter OpenAI vereinbart worden sein und die Vorgaben eines Drittlandtransfers im Sinne von Art 44 DSGVO beachtet werden. Da diese Voraussetzungen derzeit in den meisten Fällen nicht erfüllt sein dürften, erscheint es sinnvoll, die Eingabe personenbezogener Daten zu untersagen.

4. KEINE EINGABE VON BETRIEBS- UND GESCHÄFTSGEHEIMNISSEN BEI CHATGPT


Da sich OpenAI als Anbieter von ChatGPT in den Nutzungsbedingungen (sog. Terms of Use) zumindest bei der kostenlosen Version das Recht ausbedingt, die Eingaben (sog. Prompts) zur Verbesserung des Dienstes (mithin auch dem weiteren Training des Algorithmus) weiter zu nutzen, sollten vertrauliche Informationen und Dokumente des Unternehmens, insbesondere Betriebs- und Geschäftsgeheimnisse, bei ChatGPT nicht eingegeben werden.

5. PRÜFUNG DER RICHTIGKEIT DER AUSGABEN VOR WEITERGEHENDER NUTZUNG


Den Mitarbeitern sollten in kurzer und verständlicher Form die Funktionsweise von ChatGPT und die hieraus resultierenden „Ungenauigkeiten“ erläutert werden. Insofern sollten die Mitarbeiter auch angewiesen werden, die jeweiligen Ausgaben vor einer weitergehenden Verwendung noch einmal auf Richtigkeit und Vollständigkeit zu prüfen. Optional können die Mitarbeiter darauf hingewiesen werden, dass sie bei einer Verwendung der KI-generierten Texte „nach außen“ (z.B. in der Kundenkommunikation oder auf der Webseite) verantwortlich bleiben.

6. BEACHTUNG DER NUTZUNGSBEDINGUNGEN UND DER NUTZUNGSRICHTLINIEN


In den Nutzungsbedingungen (sog. Terms of Use) und der Nutzungsrichtlinien (sog. Usage Policies) beschreibt OpenAI, wie der Dienst genutzt werden darf und welche Einsatzzwecke und Eingaben verboten sind.

7. KEINE VERLETZUNG VON RECHTEN DRITTER (OPTIONAL)


Je nach eingesetzter generativer KI-Systeme bestehen unterschiedliche Risiken der Verletzung von Rechten Dritter (z.B. Urheber- und Markenrecht bzw. Recht am eigenen Bild). Bei Textgeneratoren wie ChatGPT besteht ein Restrisiko der Nutzung urheberrechtlich geschützter Texte bzw. Fragmente Dritter (siehe dazu den früheren Blogbeitrag ChatGPT & Co – Urheberrecht bei Werken der Künstlichen Intelligenz (KI)). In der Richtlinie könnten Hinweise gegeben werden, wie diese urheberrechtlichen Risiken (z.B. über die Prüfung der Quellen oder über Tools wie Copyscape oder Grammarly) reduziert werden können und/oder sollen.
Je nach Einsatzzweck könnte auch eine Prüfpflicht in die Richtlinie aufgenommen werden, um sicherzustellen, dass etwaiges Trainingsmaterial bei einer Eingabe bei ChatGPT keine Rechte Dritter verletzt.

8. ERFÜLLUNG TRANSPARENZPFLICHTEN (OPTIONAL)


Mit der Geltung der KI-Verordnung (sog. AI Act) werden zusätzlich konkrete Transparenzpflichten zu beachten sein. So verpflichtet Art. 52 des aktuellen Entwurfs der KI-VO die Anbieter bzw. Nutzer von KI-Systemen in unterschiedlichen Konstellationen anzugeben, wenn eine Person mit einem KI-System kommuniziert bzw. Inhalte so von einer Künstlichen Intelligenz „manipuliert“ worden sind, dass sie wirklichen Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und so fälschlicherweise als echt oder wahrhaftig erscheinen. Unternehmen könnten optional entscheiden, diese Transparenzanforderungen bereits vor Inkrafttreten der KI-Verordnung zu erfüllen und die Mitarbeiter anzuhalten, stets (z.B. in der Kundenkommunikation) anzugeben, wenn ein Werk (z.B. ein Brief oder eine E-Mail) von einem KI-System erstellt worden ist.

Zusammenfassung „Richtlinien zum Einsatz von KI-Systemen“

Der ungesteuerte Einsatz von ChatGPT und anderen generativen KI-Systemen (z.B. Bild- und Videogeneratoren) birgt erhebliche rechtliche Risiken. Statt eines unkontrollierten Einsatzes der Vielzahl der heute schon angebotenen KI-Werkzeuge sollten Unternehmen aktiv prüfen und entscheiden, welche KI-Systeme für welche Zwecke eingesetzt werden können und von den Mitarbeitern auch genutzt werden sollen.

Ein dauerhafter Verzicht auf den Einsatz von KI-Systemen, die nicht nur in Anzahl und Einsatzszenarien weiter anwachsen dürften, sondern sich wohl auch in der „Ergebnisqualität“ rasant verbessern werden, oder pauschale Verbote dürften für die meisten Unternehmen kaum vertretbar sein. Auch wenn die Künstliche Intelligenz den Menschen in absehbarer Zeit nicht wird ersetzen können, so werden Menschen bzw. Unternehmen mit KI wohl doch bald schon erhebliche Vorteile vor Menschen bzw. Unternehmen ohne KI haben.

Um rechtliche Risiken beim Einsatz von KI-Systemen wie ChatGPT zu vermeiden bzw. zu reduzieren, sollten Unternehmen aber auch andere Institutionen (z.B. öffentliche Stellen, Universitäten) geeignete Richtlinien einführen. Nur so können Chancen und Einsatzszenarien abgesichert „ausgetestet“ werden, um hieraus lernen und mit den weiteren anstehenden Entwicklungen Schritt halten zu können.

Die weiteren gesetzliche Entwicklungen, wie insbesondere die KI-Verordnung (sog. AI Act) und die KI-Haftungs-Richtlinie (sog. AI Liability Directive), sollten dabei beobachtet und rechtzeitig umgesetzt werden.

Autor: Dr. Carsten Ulbricht ist Rechtsanwalt und Partner der Kanzlei Menold Bezler in Stuttgart. Mit langjähriger Expertise im IT-, Internet- und Datenschutzrecht berät er Unternehmen und öffentliche Stellen bei der Umsetzung der digitaler Prozesse, Plattformen und Geschäftsmodelle. Ausserdem betreibt er den Blog rechtzweinull.de.

- WERBUNG -