KI-Datenschutz-Leitfaden 2024: Sicherer Einsatz von ChatGPT, Copilot und Co

Dieser Blogpost entstand auf Basis eines Blog-Posts von VISCHER, einer renommierten Schweizer Anwaltskanzlei, die sich in Sachen Datenschutz und KI über die Schweiz hinaus einen Namen gemacht hat. Den Original Post zum Thema finden Sie hier

In der Welt der Künstlichen Intelligenz (KI) bieten Tools wie ChatGPT Teams, ChatGPT Enterprise, die OpenAI API, Microsoft Copilot für 365 und Azure OpenAI eine breite Palette an Möglichkeiten, um Unternehmen und Einzelpersonen auf der sicheren Seite zu halten. ChatGPT Teams und ChatGPT Enterprise sind speziell für die Bedürfnisse von Teams und Unternehmen konzipiert, wobei sie erweiterte Funktionen und Sicherheitsmaßnahmen bieten, die für die Arbeit in professionellen Umgebungen unerlässlich sind. Die OpenAI API ermöglicht es Entwicklern, maßgeschneiderte KI-Lösungen zu erstellen und zu integrieren, wodurch sie vollständige Kontrolle über die Verwendung und Implementierung der KI in ihren Projekten haben. Microsoft Copilot für 365 ist eine Innovation, die sich nahtlos in die bekannten Office-Anwendungen integriert und Nutzern hilft, effizienter und effektiver zu arbeiten, während Azure OpenAI die Leistungsfähigkeit von OpenAIs fortschrittlichen KI-Modellen mit der Zuverlässigkeit und Skalierbarkeit von Microsofts Cloud-Infrastruktur kombiniert. Jedes dieser Tools bietet einzigartige Vorteile und Sicherheitsfeatures, die sicherstellen, dass Nutzer die Kraft der KI nutzen können, während sie gleichzeitig geschützt und konform mit Datenschutzstandards bleiben.

Warum ist Datenschutz bei KI-Tools wichtig?

Der Datenschutz bei KI-Tools ist für Unternehmen aus mehreren Gründen von zentraler Bedeutung. Erstens, um die Einhaltung gesetzlicher Vorschriften wie der DSGVO zu gewährleisten, was nicht nur die rechtliche Konformität sichert, sondern auch mögliche Strafen und Sanktionen vermeidet. Zweitens ist der Schutz der Privatsphäre und der persönlichen Daten der Nutzer entscheidend, um das Vertrauen und die Glaubwürdigkeit des Unternehmens aufrechtzuerhalten. Ein Versäumnis in diesem Bereich kann zu ernsthaften Reputationsschäden führen. Darüber hinaus müssen Unternehmen sicherstellen, dass die durch KI generierten Daten und Erkenntnisse ethischen Standards entsprechen und nicht zu diskriminierenden oder voreingenommenen Ergebnissen führen. In einer Welt, in der Daten ein kostbares Gut sind, stellt der richtige Umgang mit personenbezogenen Daten eine entscheidende Komponente für den langfristigen Erfolg und das nachhaltige Wachstum eines Unternehmens dar.

Aktuelle Datenschutzgesetze und KI-Regulierung

Das EU-KI-Gesetz ist ein Schritt zur Regulierung von Künstlicher Intelligenz. Es etabliert Standards, um KI-Systeme sicher, transparent und umweltfreundlich zu gestalten. Dieses Gesetz unterteilt KI-Systeme in verschiedene Risikokategorien, wobei für jede Kategorie spezifische Regulierungen gelten. Insbesondere müssen generative KI-Modelle wie GPT von OpenAI höhere Transparenzanforderungen erfüllen. Dies umfasst die Offenlegung, dass Inhalte durch KI generiert wurden, die Verhinderung der Erstellung illegaler Inhalte und die Publikation von Zusammenfassungen über verwendete urheberrechtlich geschützte Daten. Ziel ist es, ein ausgewogenes Verhältnis zwischen der Förderung innovativer Technologien und dem Schutz der Grundrechte und der Sicherheit der Menschen zu schaffen​​. Weitere Informationen finden Sie auf der Website des Europäischen Parlaments.

Vor- und Nachteile gängiger KI-Tools 

Hier ist eine ausführliche Zusammenfassung der gängigen KI-Tools und was man hierbei Datenschutztechnisch wissen muss (Quelle: Vischer, 2024) 
  • ChatGPT von OpenAI
  • Microsoft Copilot und Azure OpenAI Service
  • Google Bard und Vertex AI

1. ChatGPT von OpenAI

OpenAI stellt ChatGPT in verschiedenen Ausführungen bereit, von kostenlosen bis hin zu kostenpflichtigen Unternehmensversionen. Während kostenlose und Basisversionen für Privatkunden nicht für die Verarbeitung sensibler Daten geeignet sind, erlauben Unternehmensversionen wie "ChatGPT Enterprise" und "OpenAI API" durch Abschluss eines Data Processing Agreements (DPA) den datenschutzkonformen Einsatz. Diese Versionen enthalten zudem Vertraulichkeitsverpflichtungen. Die Vertraulichkeitsverpflichtungen sind für Geschäftsgeheimnisse ist es ausreichend, nicht aber für gesetzliche Berufsgeheimnisse.

Seit Januar 2024 bietet OpenAI "ChatGPT Team" für kleinere Unternehmen an, d.h. es müssen nicht mehr wie bei ChatGPT Enterprise mehrere hundert Zugänge erworben werden, sondern ein Start ist bereits ab 2 Zugängen möglich.
Diese Version ähnelt "ChatGPT Enterprise" und der "OpenAI API" in Bezug auf die Nutzungsbedingungen und ermöglicht auch den Abschluss eines Data Processing Agreements (DPA). Es besteht zudem eine Vertraulichkeitsklausel und die Inhalte werden nicht für Trainingszwecke verwendet. Für Kunden im EWR und in der Schweiz agiert  OpenAI Ireland Ltd. als Vertragspartner, was rechtliche Vorteile bietet. Das DPA wird automatisch mit dem Vertragspartner abgeschlossen, während die EU-Standardvertragsklauseln weiterhin mit OpenAI, LLC vereinbart werden,.
Aktuell wird der Dienst für ChatGPT Free und ChatGPT Plus in der EU von der US-Firma OpenAI bereitgestellt. Gemäß den neuen "Europe Terms of Use", die ab dem 15. Februar 2024 gelten, wird jedoch die irische Tochtergesellschaft von OpenAI die Verantwortung für Kunden in der Schweiz und im Europäischen Wirtschaftsraum (EWR) übernehmen.

Wie ihr ChatGPT ohne Anmeldung nutzen könnt, findet ihr übrigens in einem anderen Beitrag von uns.

2. Microsoft Copilot und Azure OpenAI Service

Bei Microsoft gelten unterschiedliche vertragliche Regelungen für ihre KI-Tools. Der über Edge und Web verfügbare "Copilot" erlaubt die Nutzung von In- und Output für die Verbesserung des Services und gibt Microsoft ein Lizenzrecht zur Verwendung dieser Daten, was ihn für den Unternehmenseinsatz ungeeignet macht.

Zudem bietet Microsoft seit Januar 2024 "Copilot Pro" für private Nutzer an. Diese Version, die unter dem Servicevertrag für Privatkunden läuft, ist ebenfalls nicht für den Einsatz in Unternehmen vorgesehen, da die notwendigen vertraglichen Vereinbarungen fehlen.
Microsoft bietet für geschäftliche Anwender den "Copilot mit kommerziellem Datenschutz" im Edge-Browser an. Dieser ist Teil der M365-Business-Pakete. Nutzer, die diesen Dienst nutzen möchten, melden sich mit ihrem geschäftlichen M365-Konto an, woraufhin eine spezielle Datenschutzbenachrichtigung erscheint.
"Ihre persönlichen und Unternehmensdaten sind in diesem Chat geschützt."
Es könnte angenommen werden, dass der "Copilot mit kommerziellem Datenschutz" von Microsoft, der im Edge-Browser verfügbar ist, unter Geschäftsverträgen wie dem "Microsoft Customer Agreement" (MCA) und dem "Data Processing Addendum" (DPA) fällt. Allerdings trifft dies nicht zu, da Nutzer zusätzliche Bedingungen akzeptieren müssen, die für Privatkunden gelten. Microsoft sichert zu, dass die Daten nicht für eigene Zwecke verwendet und nur solange gespeichert werden, wie das Browserfenster offen ist, und keine Lizenz für die Nutzung der Daten an Microsoft übertragen wird. Der "Copilot mit kommerziellem Datenschutz" ist jedoch vom DPA ausgeschlossen und Microsoft agiert als Verantwortlicher für die Datenbearbeitung . 

Die Nutzung von Microsofts "Copilot mit kommerziellem Datenschutz" in Unternehmen wirft Datenschutzfragen auf, da Microsoft normalerweise als Auftragsverarbeiter fungiert, was hier nicht der Fall ist. Unternehmen sollten daher vorsichtig sein, personenbezogene Daten im Copilot zu nutzen, da kein Data Processing Agreement (DPA) besteht. Obwohl die irische Microsoft-Gesellschaft, der Vertragspartner, der DSGVO unterliegt und damit einen angemessen Datenschutz., gilt sie datenschutzrechtlich als Dritte – und Dritten werden insbesondere Unternehmen ihre Personendaten nicht einfach übergeben wollen. 
Die vertragliche Absicherung von Datenschutz und Geheimhaltung für Unternehmen wird durch "Copilot für Microsoft 365" oder "Azure OpenAI Service" gewährleistet. Diese Dienste werden unter Geschäftsverträgen wie dem MCA bezogen und folgen dem DPA von Microsoft, mit der Möglichkeit, Zusatzvereinbarungen für spezielle Anforderungen zu treffen. "Copilot für Microsoft 365", verfügbar seit Januar 2024, bietet eine klarere vertragliche Grundlage für den Unternehmenseinsatz im Vergleich zum "Copilot mit kommerziellem Datenschutz". Nutzer müssen jedoch auf die Unterschiede zwischen diesen Versionen achten.

3. Google Bard und Vertex AI

Google's "Bard" ist ein kostenloser KI-Chatbot, der hauptsächlich für private Nutzer gedacht ist und sich nicht für die Verarbeitung von Personendaten eignet, wie Google betont. Daher ist seine Anwendung im Arbeitsalltag begrenzt. Im Kontrast dazu steht "Vertex AI", Googles Unternehmensdienst, der unter den Nutzungsbedingungen der Google Cloud Platform und mit einem Data Processing Agreement (DPA) betrieben wird. Vertex AI ist für den Einsatz mit Personendaten und vertraulichen Informationen geeignet, erfordert jedoch bei zusätzliche vertragliche Zusicherungen bei Berufs- und Amtsgeheimnisse  von Google.

Zusammenfassung und Ausblick

Zusammenfassend lässt sich sagen, dass im Jahr 2024 KI-Tools wie ChatGPT Teams, ChatGPT Enterprise, OpenAI API, Microsoft Copilot für 365 und Azure OpenAI entscheidend für den Datenschutz in Unternehmen sind. Diese Tools bieten spezialisierte Funktionen und Sicherheitsmaßnahmen, um den Anforderungen von Unternehmen gerecht zu werden. Datenschutz ist dabei von zentraler Bedeutung, um gesetzliche Vorgaben einzuhalten und das Vertrauen zu wahren. Das EU-KI-Gesetz führt neue Standards ein, um KI-Systeme sicher und transparent zu gestalten. Besonders für die Bearbeitung von Personendaten und Geschäftsgeheimnissen ist es wichtig, geeignete Versionen der KI-Tools zu wählen, die Datenschutzbestimmungen einhalten. Der Ausblick zeigt, dass Unternehmen sich kontinuierlich an die sich wandelnden rechtlichen und technologischen Rahmenbedingungen anpassen müssen, um die Vorteile der KI vollständig nutzen zu können. Mehr zum Thema findet ihr auch in unserem Blogbeitrag Datensicherheit und DSGVO-Konformität im Fokus.

Entdecke unsere Online-Kurse

FAQ-Sektion: Nutzung von KI-Tools und Datenschutz

1. Kann ich Copilot für Datenschutz verwenden?

Copilot, insbesondere in seiner Standardversion, ist für den Einsatz in Unternehmen aufgrund der Nutzung von In- und Output zur Verbesserung des Services und der Lizenzrechte von Microsoft an diesen Daten möglicherweise nicht ideal für datenschutzkritische Anwendungen. Unternehmen sollten die Version "Copilot mit kommerziellem Datenschutz" im Edge-Browser in Betracht ziehen, die im Rahmen der M365-Business-Pakete angeboten wird und spezielle Datenschutzbenachrichtigungen enthält.

2. Kann ich Copilot 365 in Hinblick auf Datenschutz verwenden?

Ja, "Copilot für Microsoft 365" bietet eine klarere vertragliche Grundlage für den Unternehmenseinsatz im Vergleich zu anderen Versionen. Nutzer, die diesen Dienst im Rahmen der M365-Business-Pakete nutzen, können von den Datenschutzmaßnahmen profitieren, die durch den Microsoft Customer Agreement (MCA) und das Data Processing Addendum (DPA) abgedeckt sind.

3. Kann ich ChatGPT Teams in Hinblick auf Datenschutz verwenden?

"ChatGPT Team", das für kleinere Unternehmen konzipiert ist, ermöglicht den Abschluss eines Data Processing Agreements (DPA) und enthält eine Vertraulichkeitsklausel. Diese Version ähnelt in Bezug auf die Nutzungsbedingungen und Datenschutzaspekte "ChatGPT Enterprise" und ist daher für die datenschutzkonforme Verwendung in Unternehmen geeignet.

4. Kann ich die kostenlose Version von ChatGPT in Hinblick auf Datenschutz verwenden?

Die kostenlose Version von ChatGPT ist in der Regel nicht für die Verarbeitung sensibler Daten vorgesehen und bietet nicht dieselben Datenschutzgarantien wie die Unternehmensversionen. Unternehmen, die sensible Daten verarbeiten, sollten daher eine Version wählen, die speziell für den geschäftlichen Einsatz konzipiert ist und die Möglichkeit bietet, ein Data Processing Agreement (DPA) abzuschließen.

5. Wie beeinflusst die DSGVO den Einsatz von KI-Tools in Unternehmen?

Die DSGVO (Datenschutz-Grundverordnung) setzt strenge Richtlinien für den Umgang mit personenbezogenen Daten in der EU, einschließlich der durch KI-Tools verarbeiteten Daten. Unternehmen müssen sicherstellen, dass ihre KI-Implementierungen die Prinzipien der DSGVO wie Datenminimierung, Transparenz und Nutzerrechte einhalten, um Compliance zu gewährleisten und mögliche Sanktionen zu vermeiden.

6. Warum ist die Transparenz von KI-Systemen für den Datenschutz so wichtig?

Transparenz in KI-Systemen ist entscheidend, um Nutzern zu vermitteln, wie ihre Daten verwendet werden und Entscheidungen der KI nachvollziehbar zu machen. Dies ist besonders relevant für generative KI-Modelle, die Inhalte produzieren, da Nutzer und Regulierungsbehörden verstehen müssen, wie diese Inhalte zustande kommen, um ethische und rechtliche Standards zu wahren.

7. Inwiefern trägt das EU-KI-Gesetz zum Datenschutz bei?

Das EU-KI-Gesetz zielt darauf ab, einheitliche Standards für die Sicherheit, Transparenz und ethische Nutzung von KI-Systemen zu etablieren. Durch die Klassifizierung von KI-Systemen nach Risikolevels und die Festlegung spezifischer Anforderungen für jede Kategorie, insbesondere für generative Modelle, trägt das Gesetz dazu bei, den Schutz persönlicher Daten und die Einhaltung von Datenschutzprinzipien in der Nutzung von KI zu stärken.