zur Übersicht

Meine Firma setzt ChatGPT ein. Darf sie das?

Dieser Beitrag erläutert am Beispiel eines sehr häufigen Szenarios, wie sich die KI-VO auf den Einsatz einer weit verbreiteten KI-Lösung auswirkt.

In dem hier zugrunde liegenden Szenario möchte ein Unternehmen den Chatbot ChatGPT ohne weitere Anpassungen unter einem firmeneigenen Namen, z. B. „Firma-Bot“, seinen Mitarbeitern zur internen Verwendung mit eingeschränkten Anwendungsmöglichkeiten anbieten. Die Mitarbeiter sollen eingeladen werden, den Chatbot für das Verbessern eigener Texte einzusetzen, um neue Texte wie z. B. Anleitungen zu generieren, um aus einem Input von unternehmenseigenen Dokumenten Zusammenfassungen zu erstellen oder bestehende Sharepoints mit der Chatbot zu verbinden, um eine fortgeschrittene Suche in diesen Datenablageorten zu ermöglichen.

Kann das Unternehmen ChatGPT so rechtskonform einsetzen? Dies wollen wir uns im Folgenden anhand der zu erwägenden Punkte anschauen:

Was ist ChatGPT aus Sicht der KI-VO?

ChatGPT ist ein KI-gestützter Chatbot. Er wurde von dem US-amerikanischen Softwareunternehmen OpenAI, Inc. entwickelt, um menschenähnliche Konversationen zu führen. Aus Sicht der KI-VO ist der Chatbot ein KI-System, dessen Output auf dem KI-Modell GPT-4 basiert, welches ebenfalls von OpenAI, Inc. entwickelt wurde. Ein KI-Modell ist ein System von Algorithmen, welches trainiert wird, um bestimmte Lösungsfähigkeiten zu erwerben. Bei GPT-4 handelt es sich um ein Large Language Modell, welches auf das Erkennen und Verarbeiten von Sprache trainiert wurde. Das Modell stellt also die Grundlage der Leistungsfähigkeit des Chatbots dar, das Modell kann aber auch zu anderen Zwecken verwendet. Eine Firma, die den Chatbot ChatGPT einsetzt, setzt hingegen nur das KI-System ein. Auch wenn die Fähigkeiten des Modells zum Einsatz kommen, übernimmt der Verwender des Produkts ChatGPT zunächst keine Verantwortung für das zugrunde liegende KI-Modell.

Was sollte mein Unternehmen beachten?

Welche Pflichten die KI-VO einem Unternehmen beim Einsatz eines KI-Systems auferlegt, hängt insbesondere von zwei Faktoren ab: 1. Welche Risikoeinstufung liegt vor? Und 2. Welche Rolle nimmt das Unternehmen ein?

Liegt ein inakzeptables oder hohes Risiko vor?

Wie in unserem vorherigen Beitrag geschildert, hängt die Risikoeinstufung auch vom konkreten Verwendungszweck ab. In unserem Szenario ist der Verwendungszweck durch die unternehmensinterne Richtlinie eingeschränkt. Die Kriterien für inakzeptable Risiken aus Art. 5 Abs. 1 KI-VO treffen bei den vorgenannten Anwendungsmöglichkeiten offensichtlich nicht zu. Ebenso fällt der für dieses Szenario skizzierte Verwendungszweck in keinen der in Anhang III KI-VO genannten Bereiche mit grundsätzlich hohem Risiko. Der Chatbot als Produkt fällt auch nicht unter die Liste der Harmonisierungsrechtsvorschriften in Anhang I KI-VO. Somit handelt es sich nicht um ein Hochrisiko-System und die entsprechenden Pflichten können vermieden werden.

Welche Rolle beim Einsatz von ChatGPT?

Wie ebenfalls in einem unserer früheren Beiträge dargestellt, unterscheidet die KI-VO zwischen verschiedenen Rollen, wie zum Beispiel Anbieter und Betreiber. Dabei sind einem Anbieter mehr Pflichten auferlegt als einem Betreiber. Wer ein KI-System nicht selbst entwickelt, aber in eigener Verantwortung verwendet, gilt als Betreiber. Dies trifft also auch auf das Unternehmen in unserem Szenario zu. Handelt es sich jedoch um ein Hochrisikosystem, würde das Unternehmen durch die Inbetriebnahme unter eigenem Namen allerdings zu einem Anbieter. Dies gilt jedoch nicht für Systeme von begrenztem oder minimalem Risiko, also auch hier nicht. Allerdings bleibt ein Unternehmen, welches eine KI-System einsetzt, nur dann ein Betreiber, wenn das KI-System auch gemäß der Zweckbestimmung verwendet wird, welche wiederum der Anbieter festgelegt. Auch diese Bedingung sollte in unserem Szenario erfüllt sein.

Welche Pflichten ergeben sich?

Somit handelt es sich in dem Szenario um die Inbetriebnahme eines KI-Systems zum Eigengebrauch durch einen Betreiber entsprechend der Zweckbestimmung, wobei das KI-System kein hohes Risiko aufweist.

Den Betreiber treffen daher zunächst die allgemeinen Pflichten aus der KI-VO, die so oder so ähnlich für alle Betreiber von KI-Systemen gelten. Nach Art. 4 KI-VO muss das Unternehmen sicherstellen, dass die Betroffenen das notwendige Wissen und Verständnis für KI-Systeme, die sogenannte KI-Kompetenz, aufweisen. Dies kann durch einen Bildungsabschluss oder Berufserfahrung gegeben sein oder muss durch Schulungen und Informationsmaterial vom Unternehmen nachgezogen werden.

Beim Einsatz eines Chatbots wirken insbesondere die Transparenzpflichten nach Art. 50 Abs. 1 KI-VO. So muss das Unternehmen die eigenen Mitarbeiter darüber informieren, dass sie mit einem KI-System interagieren. Da dies beim Einsatz von ChatGPT für die meisten Mitarbeiter offensichtlich ist, kann diese Pflicht ohne großen Aufwand erfüllt werden. Darüber hinaus sind weitere Compliance-Pflichten zu berücksichtigen. Beim Einsatz von ChatGPT sind insbesondere daten-, geheimnis- und urheberschutzrechtliche Aspekte zu beachten. So muss zum einen der Umgang mit den von den Mitarbeitern eingegebenen Input geregelt werden und umgekehrt diese auch über die spezifischen rechtlichen Herausforderungen eines Chatbots informiert werden, z. B. wenn diese in Prompts oder verwendetem Material dem Chatbot personenbezogenen Daten zur Verfügung stellen wollen.

Aber Vorsicht! Der Einsatz von ChatGPT unter anderen Bedingungen und mit anderen Verwendungszwecken kann eine andere Risikoeinstufung und andere Pflichten nach sich ziehen.

Was sollte mein Unternehmen tun?

Sofern der eingesetzte Chatbot nicht das einzige im Unternehmen eingesetzte KI-System ist, sollte der Einsatz in eine übergeordnete KI-Compliance-Strategie eingebettet sein. Dazu gehört beispielsweise eine systematische Dokumentation der eingesetzten KI-Systeme, eine allgemeine KI-Richtlinie etc. Hierzu werden wir in Kürze einen eigenen Blogbeitrag zur Verfügung stellen.

Für den Einsatz von Chatbots im Speziellen empfiehlt es sich, klare Regeln für die Beschäftigten aufzustellen:

  • Dies beginnt mit Vorgaben, wie, von wem und wofür der Chatbot überhaupt genutzt werden darf. Und wofür nicht, wie bspw. private Zwecke.
  • Darüber hinaus sollten Vorgaben zum zulässigen Input definiert sein, also zum Inhalt der Prompts oder der eingestellten Texte und Dokumente bzw. auch zur Bereinigung dieser vor Eingabe. Denn dieser Input kann sensible personenbezogene Daten enthalten oder Rückschlüsse zulassen, aber auch Geschäftsgeheimnisse oder andere Informationen dem Anbieter des Bots übermitteln. Hilfreich ist es hierfür, Muster für oft verwendete Prompts und übliche zu bereinigende Informationen vorzudefinieren. Zum anderen sollten nachvollziehbare Bestimmungen erlassen werden, in welcher Form der vom Chatbot generierte Output genutzt werden kann.
  • Gänzlich untersagt werden sollte einerseits die Verarbeitung von personenbezogenen Daten, sofern Datenflüsse vom eingesetzten Chatbot zu OpenAI, Inc. möglich sind. Andererseits die Verwendung der im Unternehmen eingegebenen und generierten Daten für das weitere Training des Modells durch OpenAI, Inc.
  • Darüber hinaus sollte in regelmäßigen Abständen eine Evaluation der Nutzung durchgeführt werden. Hierbei sollte überprüft werden, ob der Chatbot bestimmungsgemäß verwendet wird (z. B. durch automatisiertes Screening nach bestimmten Inhalten) und ob er entsprechend der Vorgaben arbeitet (z. B. keine personenbezogenen Daten im Output ausgibt). Achtung, bei einer solchen Auswertung können neue datenschutzrechtliche Herausforderungen auftreten, die es zu berücksichtigen gilt.

Ansonsten kann man sich auch der hilfreichen Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit für den Einsatz von KI-basierten Chatbots orientieren.

Gibt es Ausnahmen für Start-ups und KMU?

Entsprechend des Verordnungsziel der Innovationsförderung und dem besonderen Augenmerk auf kleine und mittlere Unternehmen/KMU (Art. 1 Abs. 2 lit. g KI-VO) sind durchaus Erleichterungen und Ausnahmen für KMU und Kleinstunternehmen in der KI-VO vorgesehen. So sind die Anforderungen an das Risikomanagement bei Hochrisikosystemen für Kleinstunternehmen bspw. abgesenkt. Für das hier betrachtete Szenario sind diese Ausnahmen jedoch nicht relevant.

Fazit

Wie am Beispiel gezeigt, können Unternehmen bestimmte KI-Systeme nutzen (lassen), z. B. ChatGPT rechtskonform einsetzen, ohne umfangreiche Pflichten und Verwaltungsaufwände erfüllen zu müssen. Auch kleine oder mittlere Unternehmen, die möglicherweise über keine eigene Rechts- oder Compliance-Abteilung verfügen, können so von KI-Systemen profitieren. Im Zweifel sollte natürlich Rat eingeholt werden, um mögliche Eingriffe in die Rechte Dritter und Bußgelder bei versehentlichen Pflichtverstößen zu vermeiden. Gerade im Personalbereich ist Vorsicht geboten. Die Nutzung von KI-Systemen ist nicht in jedem Falle zulässig, nur weil diese auf dem Markt erhältlich sind oder praktisch erscheinen.

Sprechen Sie uns gerne an, wenn Sie Unterstützung bei der Einführung oder Bewertung eines KI-Systems benötigen. Sie wollen beim Thema KI-Compliance auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter.