Die Entwicklung, Implementierung und Nutzung von Large Language Models (LLMs) wird zunehmend durch ein komplexes Regelwerk an gesetzlichen Vorschriften und Richtlinien bestimmt. Neben der im März 2024 verabschiedeten KI-Verordnung (AI Act) und dem Data Act der Europäischen Union (EU), der seit Januar 2024 in Kraft ist, sind in Deutschland das Urheberrecht sowie die Datenschutz-Grundverordnung (DSGVO) zentrale Bestandteile der rechtlichen Rahmenbedingungen für den Einsatz von Künstlicher Intelligenz (KI).
Datenschutzverstöße bei ChatGPT
In einer Umfrage des Branchenverbands Bitkom sehen 70 Prozent aller Unternehmen und sogar 80 Prozent der Unternehmen, die bereits KI nutzen, Datenschutzverstöße als größtes Risiko beim KI-Einsatz. In Sachen Datenschutz stehen insbesondere personenbezogene Daten im Vordergrund.
Beim zurzeit wohl populärsten LLM „ChatGPT“ untersagen die Nutzungsbedingungen zwar die Eingabe solcher personenbezogener Daten, dennoch ist der Einsatz von ChatGPT in Unternehmen aus Sicht führender Datenschutzbehörden aktuell aus rechtlicher Sicht als riskant einzustufen. Die KI unterscheidet nicht zwischen personen- und nicht-personenbezogenen Daten. Zudem verarbeitet sie die personenbezogenen Daten schon während des Lernens, speichert sie und nutzt sie zur Weiterentwicklung.
Im Kontext der Finanzberichterstattung und der Verarbeitung sensibler Daten sollten Unternehmen damit rechnen, dass es beim Einsatz von ChatGPT und ähnlichen LLMs zu weiteren Regulierungen kommt.
Unter Umständen besteht bei der Nutzung dieser Programme bei den Punkten Verarbeitung von Daten und Datenübermittlung in ein Drittland, beim Transparenzgebot sowie beim Auftragsverarbeitungsvertrag im Sinne der DSGVO bereits jetzt ein Konflikt mit dem Datenschutz.
Eine Möglichkeit, diese Bedenken einzugrenzen, ist es, eine eigene KI-Umgebung zu erstellen. Open AI bietet dafür mit ChatGPT Enterprise eine mögliche Lösung an. Hier werden zwar die Bedenken hinsichtlich des Auftragsverarbeitungsvertrags ausgeräumt, das Risiko des Drittlandtransfers bleibt hingegen bestehen und unterliegt weiterhin der Prüfung der Behörden.
Daneben bietet Azure, die Cloud-Computing-Plattform von Microsoft, die ebenfalls speziell für den Einsatz in Unternehmen konzipiert ist, die Möglichkeit, verschiedene LLMs sicher in eine eigene Instanz zu integrieren. Dadurch, dass die Server in der EU gehostet werden, bietet die Plattform im Gegensatz zu ChatGPT mehr Datenschutz und Anwendungssicherheit.
Sorgfältige Abwägung
Dennoch: Der Gebrauch von KI im Kontext der Finanzberichterstattung wirft erhebliche datenschutzrechtliche Fragen auf, insbesondere im Hinblick auf die Einhaltung der DSGVO. Unternehmen müssen also sorgfältig abwägen, wie und in welcher Form sie KI-Tools einsetzen, um Datenschutzverletzungen zu vermeiden.
Eine Möglichkeit, dieses Risiko zu minimieren, besteht darin, eigene KI-Umgebungen zu schaffen, die den europäischen Datenschutzanforderungen besser entsprechen.
Autor
Florian Schmahl
Florian Schmahl ist Director bei WTS Advisory in Hamburg.
Marlon Voß
Marlon Voß ist Manager bei WTS Advisory in Hamburg.