Einsatz von ChatGPT im Unternehmen - Hinweise für die urheberrechts- und datenschutzrechtskonforme Nutzung
Die nachfolgenden Darstellungen bilden den Stand vom Mai 2023 ab. Die zugrunde liegende Legislatur ist momentan in einer agilen Entwicklung, sodass die Gültigkeit der nachfolgenden Inhalte einer fortlaufenden Überprüfung bedarf.
Was ist ChatGPT?
ChatGPT (GPT = Generative Pre-trained Transformer) ist ein Ende 2022 von OpenAI gelaunchter auf generativer künstlicher Intelligenz (KI) basierender Chatbot, der über Text mit Nutzer*innen kommuniziert. Der Chatbot generiert Antworten unter Einsatz komplexer mathematischer Berechnungsabfolgen im neuronalen Netz. Angelehnt ist die Funktionsweise dabei an die des menschlichen Gehirns. Dabei kann ChatGPT bspw. Texte korrigieren, übersetzen, gliedern und zusammenfassen. ChatGPT ist aber auch in der Lage, Texte zu generieren, zu recherchieren, Excel-Tabellen zu erstellen oder Quellcodes für Programmierungen zu erzeugen.
Wie funktioniert ChatGPT?
Zunächst erfolgt eine Eingabe in das Eingabefeld (Prompt). Diese sollte möglichst konkret und mit vielen Adjektiven formuliert sein, um eine dem Eingabeziel entsprechende Antwort (Output) zu erhalten. Die Eingabe, die ab GPT4 auch als Bild erfolgen kann, wird durch das KI-System interpretiert und verarbeitet. Das ChatGPT zugrunde liegende KI-System wurde durch Input aus offenen Datenbanken im Internet mithilfe von Deep-Learning-Methoden trainiert. Die Extraktion der Daten erfolgt dabei ohne Rücksicht auf entgegenstehende Rechte Dritter. Durch Plug-ins, die hinzugebucht werden können, wird der Input um Daten aus zusätzlichen Quellen erweitert. Der Input wird dann im neuronalen Netz in einzelne sogenannte Token, also Textfragmente mit jeweils 3–4 Buchstaben, zerlegt. Um schließlich eine Antwort zu generieren, berechnet das KI-System Wahrscheinlichkeiten für die Zusammensetzung und Reihenfolge der Token. Der Output folgt mathematischen Wahrscheinlichkeitsberechnungen, die auf Mustererkennung basieren – es gibt also keine Wahrheitsgarantie für den Output. Auch aus diesem Grund spricht man bei ChatGPT von einem Sprachmodell (Large Language Model, LLM) und eben nicht von einer Wissensdatenbank.
Rechtliche Herausforderungen
Die rechtlichen Herausforderungen bei der Anwendung von ChatGPT in Unternehmen sind divers. Dabei stellen sich neben geheimnisschutz- und wettbewerbsrechtlichen Fragen insbesondere urheber- und datenschutzrechtliche Probleme, die im Folgenden näher betrachtet werden.
Urheberrecht
Da ChatGPT den Input unterschiedslos im Hinblick auf Rechte Dritter verarbeitet, kann nicht ausgeschlossen werden, dass die Nutzung von ChatGPT ggf. gegen Urheberrecht verstößt. Dies gilt insbesondere dann, wenn die zur Erzeugung des Outputs zusammengesetzten Token in erheblichem Umfang aus urheberrechtlich geschützten Input-Quellen stammen. Den Rechteinhabern stehen dann ausschließliche Rechte an der Verwertung ihrer Werke zu, sodass einer rechtmäßigen Nutzung dieser Werke eine wirksame Lizenzierung vorausgehen müsste.
Darüber hinaus wird die Frage diskutiert, ob Urheberrechtsschutz an den durch ChatGPT generierten Inhalten entsteht. Für die Bejahung eines schutzfähigen Werkes nach § 2 UrhG muss eine persönliche geistige Schöpfung vorliegen. Der Output wird, da er von einer KI generiert wurde, urheberrechtlich nicht dem Anwender von ChatGPT zugeordnet werden können. Wie sich allerdings ein besonders kreativer Prompt, der seinerseits bereits eine eigene Schöpfungshöhe aufweist, auf die urheberrechtliche Bewertung des damit generierten Outputs auswirken kann, ist eine Frage, deren abschließende Klärung noch aussteht.
Datenschutzrecht
Werden personenbezogene Daten Dritter in den Prompt eingegeben, ist die Datenschutz-Grundverordnung (DSGVO) anwendbar. Dabei kann es schon genügen, über ChatGPT eine einfache E-Mail zu erstellen, zusammen-zufassen oder zu übersetzen. Es bedarf dann einer Rechtsgrundlage für die Datenverarbeitung. In Betracht kommt hier nur eine Einwilligung, die entsprechend eingeholt werden müsste. Zwar ist es grundsätzlich möglich, den Prompt zu anonymisieren. Es kann aber immer vorkommen, dass personenbezogene Daten versehentlich in den Prompts verbleiben oder dass Daten nicht ausreichend anonymisiert sind, sodass Rückschlüsse auf die dahinterstehende Person gezogen werden können.
Um Verletzungen des Schutzes personenbezogener Daten zu vermeiden, die neben öffentlich-rechtlichen Sanktionen auch zivilrechtliche Schadensersatzansprüche begründen können, empfiehlt sich die Nutzung der kostenpflichtigen Version von ChatGPT. OpenAI stellt hier nämlich zur DSGVO-konformen Nutzung von ChatGPT eine Auftragsverarbeitungsvereinbarung (AVV) und Standard-Vertragsklauseln (SCC) zur Verfügung.
Der Abschluss einer AVV ist erforderlich, wenn personenbezogene Daten im Auftrag durch einen Dritten (hier: ChatGPT) verarbeitet werden. Der von OpenAI zur Verfügung gestellte AVV sollte vor dem Abschluss geprüft werden, um sicherzustellen, dass die Anforderungen des Art. 28 DSGVO erfüllt sind.
Der Abschluss von SCC ist für die DSGVO-konforme Nutzung von ChatGPT bei der Verarbeitung personenbezogener Daten aus der EU von zentraler Bedeutung, da sich die Server, auf denen die Daten von ChatGPT verarbeitet werden, in der Regel in den USA befinden.
Weitere aus datenschutzrechtlicher Sicht zu beachtende Maßnahmen sind die Durchführung einer Datenschutz-Folgenabschätzung sowie die Information betroffener Personen über den Einsatz von ChatGPT.
KI-Regulierung
Die Europäische Union (EU) arbeitet derzeit an dem weltweit ersten KI-Gesetz (AI Act). Ziel der Verordnung ist es, den Grundrechtsschutz beim Einsatz von KI-Systemen in der EU zu gewährleisten. Dazu hat die EU einen umfangreichen Pflichtenkatalog für Anbieter und Nutzer von KI-Systemen entworfen. Vorgesehen ist ein risikobasierter abgestufter Ansatz: Je größer das Risiko des Einsatzes eines KI-Systems für die Grundrechte Dritter ist, desto umfangreichere Pflichten sind beim entsprechenden Einsatz zu beachten. Die Einhaltung wird durch eigens einzurichtende Aufsichtsbehörden kontrolliert und durchgesetzt. Bei Verstößen drohen empfindliche Sanktionen.
Die Pflichten, die Anwendern und Nutzern auferlegt werden können, reichen je nach Gefährdungsgrad durch den KI-Einsatz von einfachen Transparenzpflichten über Informations-, Qualitätssicherungspflichten, menschliche Überwachungspflichten bis hin zu Verwendungsverboten.
Im April 2021 stellte die Europäische Kommission ihren Entwurf zum AI Act vor. Im Dezember 2022 folgte der Kompromissvorschlag des Rats der EU. Beide Entwürfe ließen aber eine Klassifizierung generativer KI, worunter auch Anwendungen wie ChatGPT fallen, vermissen.
Die Problematik stellt sich wie folgt dar: Der Einsatz von ChatGPT kann, wenn er im medizinischen Bereich oder im Personalwesen erfolgt, aufgrund seiner Grundrechts-sensibilität hochriskant sein und weitreichende Pflichten auslösen. Geht vom Einsatz eine klare Grundrechts-gefährdung aus, könnte dieser hierdurch auch unzulässig sein. Ein eher unkritischer Einsatz von KI liegt dagegen vor, wenn es um einfache Textkorrekturen oder -übersetzungen geht. Eine generelle Klassifizierung von generativen KI-Anwendungen, die zu verschiedenen, in ihrer Grundrechtssensibilität sehr variablen Zwecken eingesetzt werden können, ist daher nicht möglich.
Ein Kompromissvorschlag des Europäischen Parlaments zum AI Act, der Mitte Juni erwartet wird, soll diese Regelungslücke schließen. Es zeichnet sich derzeit ab, dass Anbieter von generativen KI-Programmen künftig sicherstellen müssen, dass keine rechtswidrigen Inhalte erzeugt werden, dass die KI-Anwendungen urheber-rechtlichen Vorgaben entsprechen, dass offengelegt wird, mit welchen urheberrechtlich geschützten Werken die KI trainiert wurde, und dass KI-generierte Inhalte auch als solche gekennzeichnet werden. Im Falle von ChatGPT würden diese Pflichten OpenAI treffen.
Es bleibt abzuwarten, auf welche Version des AI Acts sich die EU-Kommission, der Rat und das Parlament im Rahmen der Trilogverhandlungen einigen werden und welche Pflichten sich daraus für die Nutzer*innen von ChatGPT ergeben.
Wie können wir Ihnen helfen?
- Beratung zur urheberrechtskonformen Nutzung von ChatGPT
- Beratung zur datenschutzrechtskonformen Nutzung von ChatGPT, insbesondere bei der Prüfung der AVV von OpenAI auf ihre DSGVO-Konformität
- Unterstützung bei der Prüfung, ob weitere Rechtsbereiche durch die Nutzung von ChatGPT berührt werden (Geheimnisschutzrecht und Wettbewerbsrecht)
- Implementierung einer Acceptable Use Policy (AUP) für ChatGPT nach den Bedürfnissen Ihres Unternehmens, aus der sich genaue Anweisungen zum Umgang mit ChatGPT ergeben
- Unterstützung bei der Vorbereitung auf den AI Act und die auf Ihr Unternehmen zukommenden Pflichten
- Beratung zur technischen Implementierung von ChatGPT und anderen KI-Anwendungen
- Bei allen weiteren Fragen rund um den Einsatz von KI und den damit verbundenen rechtlichen Implikationen
Sprechen Sie uns an, wir beraten Sie gern.