Risiken bei der Einführung von ChatGPT in Unternehmen: Erläuterung von Fällen und Maßnahmen bei der Verletzung von Vertraulichkeitspflichten
Die Einführung von ChatGPT in Unternehmen schreitet allmählich voran. Obwohl seine Nützlichkeit im Fokus steht, gibt es einige Punkte, die Beachtung erfordern. Einer davon ist, dass man keine vertraulichen Informationen in ChatGPT eingeben darf. Tatsächlich gab es im Ausland Fälle, in denen die Eingabe von vertraulichen Informationen zu schwerwiegenden Datenschutzverletzungen in Unternehmen geführt hat.
In diesem Artikel erläutert ein Anwalt, mit Blick auf das Risiko von Informationslecks, anhand von Beispielen und zu ergreifenden Maßnahmen, wie ChatGPT im Geschäftsumfeld effektiv und sicher genutzt werden kann, während es sich ständig weiterentwickelt.
Warum man keine vertraulichen Informationen in ChatGPT eingeben sollte
ChatGPT ist zwar praktisch, aber da es sich um einen AI-Chatbot handelt, der aus großen Datenmengen im Internet und Nutzungsdaten lernt, besteht das Risiko, dass eingegebene vertrauliche Informationen ohne entsprechende Schutzmaßnahmen durchsickern können.
Wir werden später detailliert auf Maßnahmen gegen das Risiko von Informationslecks eingehen, aber zunächst erklären wir die Risiken, die mit ChatGPT in Bezug auf die Vertraulichkeit verbunden sind, die über das bloße Durchsickern von Informationen hinausgehen.
Risiken für Unternehmen durch die Nutzung von ChatGPT abseits von Datenschutzverletzungen
ChatGPT befindet sich derzeit in der Einführungs- und Testphase in vielen Unternehmen. Daher ist es notwendig, die Risiken vollständig zu verstehen und darauf basierend zu entscheiden, ob es für geschäftliche Zwecke genutzt werden soll.
Abgesehen von der Gefahr der Offenlegung vertraulicher Informationen (einschließlich persönlicher Daten) gibt es bei der Nutzung von ChatGPT zwei weitere Sicherheitsrisiken für Unternehmen:
- Risiko der Glaubwürdigkeit der ausgegebenen Informationen
- Risiko der Urheberrechtsverletzung bei Ein- und Ausgabeinformationen
Im Folgenden werden diese Punkte näher erläutert.
Mangelnde Glaubwürdigkeit der ausgegebenen Informationen
Die am 14. März 2023 veröffentlichte Version GPT-4 verfügt über eine Suchfunktion, die es ermöglicht, aktuelle Informationen bereitzustellen. Jedoch gibt ChatGPT Antworten aus, als wären sie wahr, ohne dass deren Glaubwürdigkeit garantiert ist. Die von ChatGPT generierten Antworten basieren nicht auf der Genauigkeit der Informationen aus den Trainingsdaten, sondern werden als die wahrscheinlichsten (am plausibelsten erscheinenden) Texte erzeugt. Daher ist es unerlässlich, vor der Nutzung der Ausgabeergebnisse eine Faktenüberprüfung durchzuführen. Sollte ein Unternehmen versehentlich falsche Informationen verbreiten, könnte dies das Vertrauen in das Unternehmen selbst schädigen.
Urheberrechtliche und andere rechtliche Risiken
Die Beurteilung von Urheberrechtsverletzungen bei ChatGPT unterscheidet sich zwischen der “AI-Entwicklungs- und Lernphase” und der “Generierungs- und Nutzungsphase”. Da die Nutzung von urheberrechtlich geschützten Werken in jeder Phase unterschiedlich ist, variieren auch die anwendbaren Artikel des Urheberrechtsgesetzes. Daher ist es notwendig, beide Phasen getrennt zu betrachten.
Referenz: Japanisches Kulturamt | Urheberrechtsseminar “AI und Urheberrecht” im Jahr Reiwa 5 (2023)[ja]
Im Januar 2019 trat eine überarbeitete Fassung des Urheberrechtsgesetzes in Kraft, die in Artikel 30-4 eine neue Bestimmung für die “AI-Entwicklungs- und Lernphase” einführte. Nutzungen, die nicht auf den Genuss der in einem Werk ausgedrückten Gedanken oder Gefühle abzielen, wie beispielsweise die Informationsanalyse für die AI-Entwicklung, können grundsätzlich ohne die Erlaubnis des Urheberrechtsinhabers durchgeführt werden.
Andererseits kann es bei von ChatGPT generierten Inhalten, die Ähnlichkeiten oder Abhängigkeiten (Modifikationen) zu urheberrechtlich geschützten Werken aufweisen, zu Urheberrechtsverletzungen kommen. Daher ist es vor der Veröffentlichung wichtig, die Rechteinhaber der von ChatGPT referenzierten Informationen zu überprüfen und sicherzustellen, dass keine ähnlichen Inhalte vorhanden sind. Beim Zitieren von Werken muss die Quelle angegeben werden (Bestimmungen zur Einschränkung der Rechte), und bei der Reproduktion muss die Erlaubnis des Urheberrechtsinhabers eingeholt werden, um eine angemessene Handhabung zu gewährleisten.
Im Falle einer Urheberrechtsverletzung durch den Rechteinhaber kann dies zu zivilrechtlichen (Schadensersatz, Schmerzensgeld, Unterlassung, Wiederherstellung des Rufes usw.) oder strafrechtlichen Verantwortlichkeiten (Antragsdelikte) führen.
Fälle, in denen die Eingabe vertraulicher Informationen in ChatGPT zu Problemen führte
Am 30. März 2023 berichtete das südkoreanische Medium ‘EConomist’, dass in der Halbleitersparte von Samsung Electronics die Verwendung von ChatGPT genehmigt wurde, woraufhin drei Fälle auftraten, in denen versehentlich vertrauliche Informationen eingegeben wurden.
Obwohl Samsung Electronics intern auf die Wichtigkeit der Informationssicherheit hingewiesen hatte, gab es Mitarbeiter, die zur Anforderung von Programmänderungen Quellcodes übermittelten (in zwei Fällen) oder Inhalte von Besprechungen für die Erstellung von Protokollen an ChatGPT sendeten.
Nach diesen Vorfällen hat das Unternehmen als Notmaßnahme die Upload-Kapazität pro Frage an ChatGPT begrenzt. Es wurde auch erwähnt, dass, sollte sich ein ähnlicher Vorfall wiederholen, eine Unterbrechung der Verbindung zu ChatGPT in Betracht gezogen wird.
Des Weiteren warnen Walmart und Amazon ihre Mitarbeiter davor, vertrauliche Informationen über Chatbots zu teilen. Ein Anwalt von Amazon hat berichtet, dass bereits Fälle aufgetreten sind, in denen die Antworten von ChatGPT interne Daten von Amazon ähnelten, was darauf hindeutet, dass diese Daten möglicherweise für das Training verwendet wurden.
Maßnahmen zur Verhinderung von Datenlecks vertraulicher Informationen bei der Nutzung von ChatGPT
OpenAI erklärt in seinen Nutzungsbedingungen und anderen Dokumenten, dass eingegebene Daten zur Verbesserung des Systems für Lernzwecke verwendet werden können und fordert Nutzer auf, keine sensiblen Informationen zu übermitteln.
In diesem Abschnitt stellen wir vier Maßnahmen vor, sowohl auf Hardware- als auch auf Softwareebene, um die Weitergabe vertraulicher Informationen bei der Nutzung von ChatGPT zu verhindern.
Erstellung von Richtlinien für die interne Nutzung
Bei der Einführung von ChatGPT in Unternehmen ist es nicht nur wichtig, die Informationssicherheitskompetenz der Einzelpersonen zu erhöhen und Reskilling-Maßnahmen innerhalb des Unternehmens durchzuführen, sondern auch wünschenswert, eigene Richtlinien für die Nutzung von ChatGPT zu entwickeln.
Am 1. Mai 2023 (Reiwa 5) veröffentlichte die General Incorporated Association Japanese Deep Learning Association (JDLA) eine Zusammenfassung der ethischen, rechtlichen und sozialen Fragen (ELSI) im Zusammenhang mit ChatGPT und stellte die “Richtlinien für die Nutzung von generativer KI” vor. Auch in verschiedenen Bereichen von Industrie, Akademie und Regierung wird die Erstellung solcher Richtlinien in Betracht gezogen.
Indem Sie diese als Referenz nutzen und eigene, schriftlich festgelegte Richtlinien für die Nutzung von ChatGPT in Ihrem Unternehmen erstellen, können Sie bestimmte Risiken minimieren.
Referenz: General Incorporated Association Japanese Deep Learning Association (JDLA) | Richtlinien für die Nutzung von generativer KI[ja]
Integration von Technologien zur Verhinderung von Datenlecks
Um menschliche Fehler, die zu Datenlecks führen können, zu verhindern, ist es möglich, ein System namens DLP (Data Loss Prevention) einzuführen, das speziell darauf ausgelegt ist, die Weitergabe und das Kopieren von vertraulichen Informationen zu unterbinden.
DLP überwacht kontinuierlich die eingegebenen Daten und verfügt über eine Funktion, die vertrauliche und wichtige Daten automatisch identifiziert und schützt. Wenn vertrauliche Informationen erkannt werden, ermöglicht DLP, dass Warnmeldungen gesendet oder bestimmte Aktionen blockiert werden. Dies kann interne Datenlecks zuverlässig verhindern, während es die Verwaltungskosten niedrig hält. Allerdings ist ein tiefgehendes Verständnis für Sicherheitssysteme erforderlich, und für Unternehmen ohne technische Abteilung könnte die reibungslose Einführung schwierig sein.
Einführung eines speziellen Tools in Betracht ziehen
Seit März 2023 (Reiwa 5) ist es möglich, durch die Nutzung der API (eine Abkürzung für “Application Programming Interface”, eine Schnittstelle, die Software, Programme und Webdienste miteinander verbindet), den Datenabfluss an ChatGPT zu verhindern.
Obwohl über die API gesendete Daten nicht für Lernen oder Verbesserungen verwendet werden, werden sie zur “Überwachung, um Missbrauch oder Fehlgebrauch zu verhindern”, 30 Tage lang gespeichert und dann gelöscht, gemäß der geänderten Speicherungsrichtlinien. Es ist jedoch zu beachten, dass im Falle einer “rechtlichen Anforderung” die Speicherfrist der Daten verlängert werden kann.
Auch wenn ChatGPT so eingestellt ist, dass es nicht zum Lernen oder Verbessern verwendet wird, werden die Daten für eine bestimmte Zeit auf dem Server gespeichert, was theoretisch ein Risiko für Informationslecks darstellt. Daher ist beim Eingeben von vertraulichen Informationen oder persönlichen Daten äußerste Vorsicht geboten.
OpenAI legt jedoch großen Wert auf die Privatsphäre der Nutzer und die Sicherheit der Daten und hat strenge Sicherheitsmaßnahmen ergriffen. Für eine sicherere Nutzung wird die Einführung des “Azure OpenAI Service” empfohlen, ein Tool, das fortgeschrittene Sicherheitsmaßnahmen ermöglicht.
Der für Unternehmen spezialisierte “Azure OpenAI Service” sammelt keine Daten, die über die API an ChatGPT gesendet werden. Zudem kann, wenn ein Opt-out beantragt und genehmigt wird, die grundsätzliche 30-tägige Speicherung und Überwachung der eingegebenen Daten abgelehnt werden, wodurch das Risiko von Informationslecks vermieden werden kann.
Grundlegende Einstellungen, um zu verhindern, dass ChatGPT eingegebene vertrauliche Informationen lernt
Wie bereits erwähnt, lernt ChatGPT alle Inhalte, die über Opt-in eingegeben werden. Daher ist ab dem 25. April 2023 (2023年4月25日) eine Funktion verfügbar, die es ermöglicht, im Voraus eine Opt-out-Einstellung vorzunehmen.
Als direkte Vorsichtsmaßnahme müssen Sie, wenn Sie nicht möchten, dass die in ChatGPT eingegebenen Daten zum Lernen oder zur Verbesserung verwendet werden, einen Opt-out-Antrag stellen. Für ChatGPT gibt es ein Google-Formular für das Opt-out, und es ist ratsam, dieses Verfahren unbedingt durchzuführen. (Geben Sie Ihre E-Mail-Adresse, Organisations-ID und Organisationsnamen ein und senden Sie diese ab.)
Dennoch werden die eingegebenen Daten für einen bestimmten Zeitraum (grundsätzlich 30 Tage) von OpenAI überwacht und auf dem Server gespeichert, auch wenn Sie diese Option wählen.
Nutzungsbedingungen von ChatGPT
3. Inhalt
(c) Verwendung von Inhalten zur Verbesserung des Dienstes
Wir verwenden keine Inhalte, die Sie unserer API zur Verfügung stellen oder von unserer API erhalten („API-Inhalte“), um unsere Dienste zu entwickeln oder zu verbessern.
Wir können Inhalte aus Diensten, die nicht unsere API sind („Nicht-API-Inhalte“), verwenden, um unsere Dienste zu entwickeln und zu verbessern.
Wenn Sie nicht möchten, dass Ihre Nicht-API-Inhalte verwendet werden, um Dienste zu verbessern, können Sie sich durch Ausfüllen dieses Formulars abmelden. Bitte beachten Sie, dass dies in einigen Fällen die Fähigkeit unserer Dienste einschränken kann, besser auf Ihren spezifischen Anwendungsfall einzugehen.
Quelle: OpenAI Offizielle Website | Nutzungsbedingungen von ChatGPT https://openai.com/policies/terms-of-use
Fazit: Bei der geschäftlichen Nutzung von ChatGPT sind Maßnahmen zum Schutz vertraulicher Informationen unerlässlich
Wir haben die Risiken eines Informationslecks und die entsprechenden Gegenmaßnahmen bei der geschäftlichen Nutzung von ChatGPT anhand von Beispielen erläutert.
Bei der rasanten Entwicklung von KI-Geschäftsanwendungen wie ChatGPT ist es unerlässlich, zusammen mit Experten Maßnahmen zu ergreifen. Dazu gehören die Erstellung von Richtlinien für die interne Nutzung, die Überprüfung der Rechtmäßigkeit von Geschäftsmodellen, die Erstellung von Verträgen und Nutzungsbedingungen, der Schutz von geistigem Eigentum und die Einhaltung von Datenschutzbestimmungen.
Verwandter Artikel: Was ist das Web3-Recht? Wir erklären auch die Schlüsselpunkte für Unternehmen, die in diesen Bereich einsteigen möchten[ja]
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. Im AI-Geschäft gibt es viele rechtliche Risiken, und die Unterstützung durch einen Anwalt, der sich mit rechtlichen Fragen im Zusammenhang mit AI auskennt, ist unerlässlich.
Unsere Kanzlei bietet mit einem Team aus AI-versierten Anwälten und Ingenieuren hochwertige rechtliche Unterstützung für AI-Geschäfte, einschließlich ChatGPT, wie die Erstellung von Verträgen, die Überprüfung der Rechtmäßigkeit von Geschäftsmodellen, den Schutz von geistigem Eigentum und Datenschutzmaßnahmen. Weitere Details finden Sie im folgenden Artikel.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: Rechtliche Angelegenheiten im Bereich AI (einschließlich ChatGPT)[ja]
Category: IT
Tag: ITTerms of Use
