ChatGPT im Unternehmen: Chancen nutzen, Datenschutz und Informationssicherheit gewährleisten

Zweifelsohne revolutionieren KI-Sprachmodelle wie ChatGPT und viele andere mehr die Arbeitswelt. Zahlreiche Unternehmen und Organisationen nutzen bereits solche KI-Technologien oder planen deren Einsatz. Die Gretchenfrage, die sich alle in diesem Zusammenhang stellen sollten, ist: „Wie halten wir‘s mit dem Datenschutz und der Informationssicherheit?“ Beides darf bei jeder Euphorie über die scheinbar wie von Zauberhand erscheinenden Ergebnisse, die ChatGPT und Co. liefern, niemals aus den Augen verloren werden.

Dieser Blogbeitrag beleuchtet die potenziellen Datenschutz- und Informationssicherheitsrisiken, die Sprachmodelle mit sich bringen und zeigt auf, wie Unternehmen diese minimieren können. Es wird erläutert, wie Schutz sensibler Daten sowie Informationen und KI erfolgreich in Einklang gebracht werden können und so das Vertrauen der Kunden gestärkt wird, um wettbewerbsfähig in die digitale Zukunft zu starten.

Lesezeit: 6 Minuten


AUF DEN PUNKT



In der heutigen digitalen Ära ist Künstliche Intelligenz (KI) mehr als nur ein Buzzword. Der Einsatz von KI-Werkzeugen revolutioniert Geschäftsprozesse, steigert die Effizienz und bietet Unternehmen jeder Größe eine Fülle von innovativen Möglichkeiten. Der Einsatz von Sprachmodellen wie ChatGPT beinhaltet hier vielversprechende Ansätze, insbesondere im Bereich der Automatisierung von Kundenanfragen und der Unterstützung interner Prozesse. Doch mit der Nutzung solcher Technologien kommen auch ernsthafte Datenschutz- sowie Informationssicherheitsfragen für Unternehmen und Organisationen auf, deren Klärung sich dieser Text widmet.


Large Language Model


Sprachmodelle wie ChatGPT gehören zur Kategorie der sog. Large Language Models (LLM). Diese Art von KI ist darauf trainiert, menschliche Sprache zu verstehen, zu verarbeiten und zu generieren. Die Modelle basieren auf neuronalen Netzen, die mit großen Mengen an Textdaten trainiert wurden, die aus Büchern, Artikeln, Websites und anderen Textquellen stammen. Durch das Training auf diesen umfangreichen Datenmengen lernt das Modell, Wörter und Sätze im Kontext zu verstehen, Muster in der Sprache zu erkennen und vorherzusagen, was als nächstes in einem Text kommen könnte. Das entsprechend trainierte Modell ist dann also in der Lage, Texte zu generieren, indem es Annahmen trifft, welche Wörter oder Sätze in einem bestimmten Kontext am wahrscheinlichsten folgen. So kann es auf Fragen antworten, Dialoge führen oder Texte schreiben, die sehr menschlich wirken.

LLMs werden in vielen Bereichen eingesetzt, darunter im Kundenservice, in Chatbots, in der automatisierten Textgenerierung, bei der Übersetzung von Texten und in der Analyse von Kundenfeedback.

Trotz ihrer Leistungsfähigkeit stoßen natürlich auch LLMs auf ihre Grenzen. Da sie nur die Daten wiedergeben, mit denen sie trainiert wurden, können die Ergebnisse Vorurteile oder Falschinformationen aus den übernommenen Trainingsdaten enthalten. Es ist zudem möglich, dass die Sprachmodelle „halluzinieren“, d.h. das Modell erzeugt Inhalte, die nicht auf den Trainingsdaten basieren und keine reale Grundlage haben. Es handelt sich um frei erfundene Antworten oder Daten, die semantisch korrekt und auf den ersten Blick plausibel erscheinen, aber faktisch falsch sind. Das Modell ist schlicht und einfach auf unsichere oder unzureichende Informationen gestoßen und konnte keine genaue Antwort generieren. Es ist immer zu bedenken, dass Sprachmodelle kein Verständnis haben für die reale Welt oder die Bedeutung hinter den Daten, die sie verarbeiten. Es ist immer ratsam sich des eigenen Verstandes zur Interpretation der Ergebnisse zu bedienen.

KI und Datenschutz bzw. Informationssicherheit: Ein Spannungsfeld


Das Spannungsfeld, in dem sich der Einsatz von Sprachmodellen und damit zusammenhängende Datenschutz- und Informationssicherheitsfragen bewegt, ist komplex.

Einerseits ist zu betrachten, dass die Sprachmodelle auf der Verarbeitung großer Datenmengen basieren, bei denen nicht sicher ist, dass dort schützenswerte personenbezogene Daten vorhanden sind und diese unrechtmäßig verarbeitet worden sind. Andererseits darf nicht vergessen werden, dass die Modelle auch nach Abschluss des eigentlichen Trainings von bzw. mit den Daten und Informationen lernen, die die Nutzer verwenden.

Hier sollten die Unternehmen und Organisationen ansetzen. Schließlich unterliegt der Umgang mit personenbezogenen Daten der Datenschutz-Grundverordnung (DSGVO). Hinzu kommt, dass jeder unberechtigte Zugriff auf sensible Informationen vermieden werden muss, um die Wettbewerbsfähigkeit und Unternehmenssicherheit dauerhaft zu schützen.

Was die Nutzung der Daten betrifft, die ChatGPT generiert, muss darauf geachtet werden, dass in den Ergebnissen vorhandene personenbezogene Daten nicht weiterverwendet werden. Im Trainingsstadium hat ChatGPT auf Millionen im Internet frei zugängliche Texte und Informationen zugegriffen. Es ist nicht auszuschließen, dass so auch persönliche und sensible Informationen verarbeitet worden sind. Ein Training unter Verwendung und nicht datenschutzkonformer Einbeziehung dieser Daten entbindet die ChatGPT-Nutzer nicht von ihren Sorgfaltspflichten. Unternehmen müssen sicherstellen, dass die Erhebung, Verarbeitung und Speicherung von Daten transparent erfolgen. Betroffene Personen müssen umfassend informiert und ihre Rechte respektiert werden. Dies ist im beschriebenen Fall nicht möglich. Die Daten kommen aus der großen Black Box der Trainingsdaten, ohne dass ihre datenschutzkonforme Erhebung nachvollzogen werden kann. Im Ergebnis heißt das, dass die Daten keine Verwendung finden und nicht weiterverarbeitet werden dürfen. 

Wie ist die Situation zu betrachten, wenn Nutzer Daten bei ChatGPT eingeben? Hier ist zu berücksichtigen, dass die KI diese Benutzereingaben zum Trainieren nutzen kann. Sprich, diese Daten können später in anderen Chats wieder auftauchen. Hier ist dringend anzuraten, den Einsatz für Trainingszwecke in der Nutzerführung auszuschließen. Des weiteren sollten alle Personen im Unternehmen, die ChatGPT einsetzen entsprechend sensibilisiert werden, keine personenbezogenen oder sonstigen sensiblen Unternehmensdaten in den Chat einzugeben. Stattdessen kommen Platzhalter oder Anonymisierungen in Frage.


Vorgehen zur Risikominimierung


Unter Aspekten der Verantwortlichkeit und Haftung sind bei der Nutzung von Sprachmodellen wie ChatGPT kritische Fragen zu stellen. Unternehmen und Organisationen müssen klar definieren, wer auf welche Art und Weise für die Einhaltung der Datenschutzbestimmungen und die Gewährleistung der Informationssicherheit verantwortlich ist, um Datenschutzverstöße bzw. die Weitergabe sensibler Informationen zu vermeiden. Alle Beteiligten sollten sich ihrer Rolle und Verantwortlichkeit bewusst sein, um sicherzustellen, dass die notwendigen Maßnahmen zum Schutz aller Daten und Informationen ergriffen und damit verbundenen Risiken ausgeschossen bzw. klein gehalten werden. Es ist für Unternehmen jeglicher Branche und Größe daher unerlässlich, datenschutz- und informationssicherheitsfreundliche Prozesse im Zusammenhang mit der Nutzung von KI-Sprachmodellen zu etablieren. Im Folgenden einige Strategien, die Organisationen umsetzen können: 

  1. Festschreiben von Nutzungsrichtlinien:
    Richtlinien, die festlegen, dass keinerlei interne und/oder personenbezogenen Daten in der Kommunikation mit Sprachmodellen verwendet werden dürfen bzw. die den Umgang definieren mit personenbezogenen Daten, die die Modelle evtl. generieren, können das Risiko eines Datenschutzverstoßes bzw. eines Informationssicherheitsvorfalles in der Organisation mindern. 

  2. Geschlossene Systeme nutzen:
    Unternehmen sollten sicherstellen, dass sie ihre KI-Systeme verstehen und nachvollziehbar machen können, wie diese Systeme Entscheidungen treffen. Dies kann durch den Einsatz sog. geschlossener Systeme (Datenverarbeitung in einer eingegrenzten und technisch abgeschlossenen Umgebung ohne Verwendung der eingegebenen oder entstehenden Daten zum weiteren Training des Systems), regelmäßige Audits und die Dokumentation der Datenverarbeitungs- und Informationssicherheitsprozesse erreicht werden. 

  3. Verantwortlichkeiten klären:
    Es sollte eindeutig festgelegt werden, wer innerhalb des Unternehmens für die Einhaltung der Datenschutz- und Informationssicherheitsvorgaben verantwortlich ist. Dies kann durch die Ernennung entsprechender Beauftragter erfolgen, die sicherstellen, dass alle Anforderungen erfüllt werden. 

  4. Schulungen und Sensibilisierung:
    Die Sensibilisierung der Mitarbeiter für die Bedeutung des Datenschutzes und der Informationssicherheit - nicht nur, aber gerade auch bei der Nutzung von ChatGPT - ist von entscheidender Bedeutung. Regelmäßige Schulungen helfen dabei, das Bewusstsein für entsprechend relevante Fragestellungen zu schärfen und sicherzustellen, dass alle Mitarbeiter die geltenden Vorschriften verstehen und einhalten. Hier findet sich auch die Klammer zu den weiter oben erwähnten Nutzungsrichtlinien. 

Fazit


Einerseits eröffnet der Einsatz von Sprachmodellen wie ChatGPT enorme Potenziale für Effizienzsteigerungen und Innovationen. Andererseits stellen Datenschutz und Informationssicherheit Herausforderungen dar, die nicht unterschätzt werden dürfen. Unternehmen, die sich der Problematik proaktiv stellen und geeignete Maßnahmen ergreifen, können jedoch nicht nur rechtliche sowie wirtschaftliche Risiken minimieren, sondern sich auch als vertrauenswürdige Akteure in einem zunehmend digitalisierten Markt positionieren. Es ist unerlässlich, dass Organisationen Datenschutz und Informationssicherheit als integrale Bestandteile ihrer KI-Strategie betrachten. Nur so können sie den Weg in eine digitale Zukunft erfolgreich und sicher gestalten. Bleiben Sie wissbegierig!

Bleiben Sie wissbegierig!


Lesen Sie auch: