Welche Risiken bestehen bei der Informationsleckage von ChatGPT? Vorstellung von vier notwendigen Maßnahmen
Derzeit zieht das sogenannte “ChatGPT” viel Aufmerksamkeit auf sich. Es handelt sich um eine generative KI, die nicht nur Manuskripte erstellen und programmieren kann, sondern auch Notenblätter generieren und zeichnen kann, und daher in verschiedenen Bereichen Beachtung findet.
Das “GPT” in ChatGPT steht für “Generative Pre-training Transformer”. Durch das Vorab-Lernen einer großen Menge an Text-, Bild- und Audio-Daten (Erweiterungsfunktionen) ist es möglich, natürliche Gespräche zu führen, ähnlich wie ein Mensch.
Da ChatGPT auch komplexe Aufgaben bewältigen kann, wird es als ein Werkzeug angesehen, das sowohl Effizienzsteigerung bei der Aufgabenerledigung als auch ein hohes Maß an Kosten-Nutzen-Effizienz verspricht. Die Nutzung von ChatGPT schreitet bereits in verschiedenen Bereichen voran, und viele Technologieunternehmen sind dabei, eigene AI-Systeme zu entwickeln.
So bieten AI-Technologien wie ChatGPT zwar viele Geschäftsmöglichkeiten, gleichzeitig werden jedoch potenzielle Risiken wie Urheberrechtsprobleme, die Verbreitung von Falschinformationen, das Risiko von Datenlecks, Datenschutzprobleme und die Möglichkeit des Missbrauchs für Cyberangriffe hervorgehoben.
In diesem Artikel erläutert ein Anwalt, welche Maßnahmen ergriffen werden sollten, insbesondere im Hinblick auf das Risiko von Informationslecks bei der Nutzung von ChatGPT.
Risiken von Informationslecks im Zusammenhang mit ChatGPT
Die Risiken bei der Einführung von ChatGPT in Unternehmen lassen sich hauptsächlich in folgende vier Punkte unterteilen:
- Sicherheitsrisiken (Informationslecks, Genauigkeit, Anfälligkeit, Verfügbarkeit usw.)
- Risiken von Urheberrechtsverletzungen
- Risiken der missbräuchlichen Verwendung (z.B. Cyberangriffe)
- Ethische Herausforderungen
Das Risiko von Informationslecks bei ChatGPT besteht darin, dass vertrauliche Informationen, die in ChatGPT eingegeben werden, von Mitarbeitern von OpenAI oder anderen Nutzern eingesehen oder als Trainingsdaten verwendet werden könnten.
Nach der Datenschutzrichtlinie von OpenAI werden die Daten, die Nutzer in ChatGPT eingeben, von OpenAI gesammelt und verwendet (zum Lernen), es sei denn, sie gehen über die ‘API’ von ChatGPT oder beantragen ein ‘Opt-out’ (dies wird später genauer erläutert).
Fälle von Informationslecks durch die Nutzung von ChatGPT
Hier stellen wir Fälle vor, in denen durch die Nutzung von ChatGPT registrierte persönliche Informationen oder eingegebene vertrauliche Informationen geleakt wurden.
Fälle von Datenlecks persönlicher Informationen
Am 24. März 2023 gab OpenAI bekannt, dass es aufgrund eines Bugs, der einigen Nutzern die letzten vier Ziffern der Kreditkartennummer anderer Nutzer, das Ablaufdatum der Karte und andere persönliche Informationen anzeigte, ChatGPT am 20. März kurzzeitig offline genommen hatte. Betroffen von diesem Datenleck waren Teile der Abonnenten des kostenpflichtigen “ChatGPT Plus”-Plans (etwa 1,2% der Mitglieder).
Zusätzlich wurde bekannt gegeben, dass es gleichzeitig einen Bug gab, der in den Chatverläufen die Historie anderer Nutzer anzeigte.
Daraufhin erließ die italienische Datenschutzbehörde am 31. März 2023 eine Verbesserungsanordnung gegen OpenAI, die eine vorübergehende Einschränkung der Datenverarbeitung italienischer Nutzer vorsah, da es an einer rechtlichen Grundlage für die Sammlung und Speicherung persönlicher Daten durch ChatGPT zum Zwecke des Lernens fehlte. Als Reaktion darauf blockierte OpenAI den Zugang zu ChatGPT aus Italien. Diese Blockade wurde am 28. April desselben Jahres aufgehoben, nachdem OpenAI die Handhabung persönlicher Daten verbessert hatte.
Fälle von Datenlecks interner vertraulicher Informationen
Im Februar 2023 veröffentlichte das US-amerikanische Cybersicherheitsunternehmen Cyberhaven einen Bericht über die Nutzung von ChatGPT an seine Kundenunternehmen.
Laut diesem Bericht hatten von den 1,6 Millionen Arbeitnehmern der Kundenunternehmen, die Cyberhaven-Produkte verwenden, 8,2% der Wissensarbeiter ChatGPT mindestens einmal am Arbeitsplatz genutzt, und 3,1% davon hatten vertrauliche Unternehmensdaten in ChatGPT eingegeben.
In einem Fall aus Südkorea berichtete das Medienunternehmen „Economist“ am 30. März 2023, dass nach der Genehmigung der Nutzung von ChatGPT in einer Abteilung von Samsung Electronics vertrauliche Informationen eingegeben wurden.
Trotz der Sensibilisierung für die Informationssicherheit im Unternehmen gab es Mitarbeiter bei Samsung Electronics, die Programmquellcodes oder Inhalte von Besprechungen eingegeben hatten.
In dieser Situation gibt es Länder und Unternehmen, die die Nutzung von ChatGPT einschränken, während andere eine Politik der Förderung verfolgen. Bei der Einführung von ChatGPT sollte das Risiko von Informationslecks sorgfältig abgewogen werden.
Vier Maßnahmen zum Schutz vor Informationslecks mit ChatGPT
Einmal geschehen, können Informationslecks nicht nur rechtliche Verantwortlichkeiten nach sich ziehen, sondern auch zu erheblichen Verlusten von Vertrauen und Reputation führen. Daher ist es entscheidend, eine gut strukturierte Informationsverwaltung und entsprechende Schulungen im Unternehmen zu etablieren, um Informationslecks zu verhindern.
Im Folgenden möchten wir Ihnen vier Maßnahmen vorstellen, mit denen Sie Informationslecks beim Einsatz von ChatGPT verhindern können.
Maßnahme 1: Erstellung von Nutzungsregeln
Zunächst ist es wichtig, eine klare Position Ihres Unternehmens zu ChatGPT zu bestimmen und ChatGPT-bezogene Bestimmungen in die internen Richtlinien aufzunehmen. Es ist entscheidend, klare Regeln festzulegen, wie zum Beispiel, dass keine persönlichen oder vertraulichen Informationen eingegeben werden dürfen, und diese dann auch umzusetzen.
In diesem Zusammenhang ist es ratsam, eigene ChatGPT-Nutzungsrichtlinien zu entwickeln. Zudem sollten Sie darauf achten, dass in Verträgen mit externen Parteien Bestimmungen zur Nutzung von ChatGPT aufgenommen werden.
Am 1. Mai 2023 (Reiwa 5) veröffentlichte die General Incorporated Association Japanese Deep Learning Association (JDLA) eine Zusammenfassung der ethischen, rechtlichen und sozialen Fragen (ELSI) im Zusammenhang mit ChatGPT und stellte die “Richtlinien für die Nutzung generativer KI” vor.
Auch in verschiedenen Bereichen von Industrie, Akademie und Regierung wird die Erstellung von Richtlinien in Betracht gezogen. Indem Sie diese als Referenz nutzen und eigene schriftliche Richtlinien für die Nutzung von ChatGPT in Ihrem Unternehmen entwickeln, können Sie bestimmte Risiken minimieren.
Referenz: General Incorporated Association Japanese Deep Learning Association (JDLA) | Richtlinien für die Nutzung generativer KI[ja]
Allerdings ist die bloße Erstellung von Richtlinien nicht ausreichend, wenn diese nicht bekannt gemacht und konsequent umgesetzt werden. Richtlinien allein sind als Maßnahme nicht ausreichend.
Maßnahme 2: Einrichtung eines Systems zur Verhinderung von Informationslecks
Als Maßnahme zur Verhinderung von menschlichen Fehlern kann die Einführung eines Systems namens DLP (Data Loss Prevention) dazu beitragen, die Übertragung und das Kopieren von vertraulichen Informationen zu verhindern, indem es spezifisch den Verlust bestimmter Daten verhindert.
DLP ist ein System, das nicht den Benutzer, sondern die Daten ständig überwacht und automatisch vertrauliche und wichtige Daten identifiziert und schützt. Wenn vertrauliche Informationen durch DLP erkannt werden, ist es möglich, Alarme zu senden oder Aktionen zu blockieren.
Es ist möglich, interne Informationslecks zu verhindern, während die Verwaltungskosten niedrig gehalten werden, aber ein tiefes Verständnis für Sicherheitssysteme ist erforderlich, und die reibungslose Einführung in Unternehmen ohne technische Abteilung könnte schwierig sein.
Maßnahme 3: Einsatz von Tools zur Verhinderung von Datenlecks
Wie bereits erwähnt, können Sie als direkte präventive Maßnahme durch das Beantragen eines “Opt-Outs” verhindern, dass die von Ihnen in ChatGPT eingegebenen Daten gesammelt werden.
Ein “Opt-Out” kann über die Einstellungen von ChatGPT beantragt werden. Allerdings sind viele Nutzer der Meinung, dass dies unpraktisch ist, da dadurch keine Protokollhistorie mehr vorhanden ist.
Als Alternative zur Opt-Out-Einstellung gibt es die Möglichkeit, Tools einzuführen, die die “API” von ChatGPT nutzen.
Die “API” (Application Programming Interface) ist eine Schnittstelle, die von OpenAI veröffentlicht wurde, um ChatGPT in eigene Dienste oder externe Tools zu integrieren. OpenAI hat klar gestellt, dass Informationen, die über die ChatGPT-“API” ein- und ausgehen, nicht zur Nutzung oder Verbesserung ihrer Dienste verwendet werden.
Dies ist auch in den Nutzungsbedingungen von ChatGPT festgelegt. Laut den Nutzungsbedingungen:
3. Inhalt
(c) Nutzung von Inhalten zur Verbesserung des Dienstes
Wir verwenden keine Inhalte, die Sie unserer API zur Verfügung stellen oder von unserer API erhalten (“API-Inhalte”), um unsere Dienste zu entwickeln oder zu verbessern.
Wir können Inhalte aus Diensten, die nicht unsere API sind (“Nicht-API-Inhalte”), verwenden, um unsere Dienste zu entwickeln und zu verbessern.
Wenn Sie nicht möchten, dass Ihre Nicht-API-Inhalte zur Verbesserung der Dienste verwendet werden, können Sie sich durch Ausfüllen dieses Formulars abmelden. Bitte beachten Sie, dass dies in einigen Fällen die Fähigkeit unserer Dienste einschränken kann, besser auf Ihren spezifischen Anwendungsfall einzugehen.
Zitat: OpenAI offizielle Website | Nutzungsbedingungen von ChatGPT
Maßnahme 4: Durchführung von internen IT-Schulungen
Neben den bisher vorgestellten Maßnahmen ist es auch wichtig, die Sicherheitskompetenz der eigenen Mitarbeiter durch interne Schulungen zu erhöhen.
Wie das Beispiel von Samsung Electronics zeigt, kann trotz interner Sensibilisierung für Informationssicherheit ein Vorfall entstehen, bei dem vertrauliche Informationen eingegeben und dadurch eine Datenpanne verursacht wird. Es ist daher wünschenswert, nicht nur systemseitig Datenlecks zu verhindern, sondern auch interne Schulungen zu ChatGPT-bezogenem Wissen und IT-Kompetenz durchzuführen.
Maßnahmen bei einem Informationsleck durch ChatGPT
Im Falle eines Informationslecks ist es entscheidend, schnellstmöglich eine Untersuchung der Fakten und entsprechende Gegenmaßnahmen einzuleiten.
Bei einem Leck von persönlichen Daten ist es nach dem japanischen Gesetz zum Schutz persönlicher Informationen (Personal Information Protection Law) verpflichtend, dies der japanischen Kommission für den Schutz persönlicher Informationen (Personal Information Protection Commission) zu melden. Zudem ist es erforderlich, die betroffene Person über den Vorfall zu informieren. Sollte das Leck von persönlichen Daten die Rechte oder Interessen einer anderen Partei verletzen, kann dies zu einer zivilrechtlichen Haftung für Schadensersatz führen. Weiterhin kann, wenn persönliche Informationen zu unrechtmäßigen Zwecken gestohlen oder weitergegeben wurden, auch eine strafrechtliche Verantwortung in Betracht kommen.
Bei einem Leck von Geschäftsgeheimnissen oder technischen Informationen kann man basierend auf dem japanischen Gesetz gegen unlauteren Wettbewerb (Unfair Competition Prevention Law) Maßnahmen wie Löschungsanträge gegenüber der Partei, die die Informationen erhalten hat, einfordern. Sollte das Leck von Geschäftsgeheimnissen oder technischen Informationen der anderen Partei einen ungerechtfertigten Vorteil verschaffen, kann dies ebenfalls zu einer zivilrechtlichen Haftung für Schadensersatz führen. Darüber hinaus kann, wenn Geschäftsgeheimnisse oder technische Informationen durch unrechtmäßige Mittel erlangt oder genutzt wurden, auch eine strafrechtliche Verantwortung in Betracht kommen.
Wenn Informationen aufgrund eines Verstoßes gegen die berufliche Verschwiegenheitspflicht geleakt werden, kann dies zu einer strafrechtlichen Verantwortung nach dem Strafgesetzbuch oder anderen Gesetzen führen. Zudem kann ein solcher Verstoß, wenn er der anderen Partei Schaden zufügt, zu einer zivilrechtlichen Haftung für Schadensersatz führen.
Daher ist es notwendig, je nach Art des geleakten Informationsinhalts schnell zu handeln und im Voraus ein entsprechendes System für solche Fälle zu etablieren.
Verwandter Artikel: Was Unternehmen bei einem Informationsleck offenlegen sollten[ja]
Verwandter Artikel: Was tun, wenn ein Leck von persönlichen Informationen auftritt? Erläuterung der administrativen Maßnahmen, die Unternehmen ergreifen sollten[ja]
Zusammenfassung: Vorbereitung auf das Risiko von Informationslecks bei ChatGPT
In diesem Abschnitt haben wir das Risiko von Informationslecks bei ChatGPT und die zu ergreifenden Maßnahmen erläutert. In der sich rasant entwickelnden AI-Branche, die ChatGPT und ähnliche Technologien nutzt, empfehlen wir, sich im Vorfeld mit einem erfahrenen Anwalt, der sich mit den rechtlichen Risiken auskennt, zu beraten und eine entsprechende interne Struktur für diese Risiken zu schaffen.
Nicht nur bei Informationslecks, sondern auch bei der Überprüfung der Rechtmäßigkeit von AI-basierten Geschäftsmodellen, der Erstellung von Verträgen und Nutzungsbedingungen, dem Schutz von geistigem Eigentum und der Datenschutzkonformität bietet die Zusammenarbeit mit einem Anwalt, der sowohl über Kenntnisse im Bereich AI als auch im Recht verfügt, Sicherheit.
Maßnahmen unserer Kanzlei
Die Monolith Rechtsanwaltskanzlei verfügt über umfangreiche Erfahrungen in IT, insbesondere im Bereich Internet und Recht. Im AI-Geschäft gibt es viele rechtliche Risiken, und die Unterstützung durch einen Anwalt, der sich mit rechtlichen Fragen im Zusammenhang mit AI auskennt, ist unerlässlich. Unsere Kanzlei bietet mit einem Team aus AI-versierten Anwälten und Ingenieuren hochwertige rechtliche Unterstützung für AI-Geschäfte, einschließlich ChatGPT, wie die Erstellung von Verträgen, die Überprüfung der Rechtmäßigkeit von Geschäftsmodellen, den Schutz von geistigem Eigentum und Datenschutzmaßnahmen. Weitere Details finden Sie im folgenden Artikel.
Bereiche, die von der Monolith Rechtsanwaltskanzlei abgedeckt werden: AI (ChatGPT etc.) Rechtswesen[ja]
Category: IT
Tag: ITTerms of Use