Chatbot-Einsatz richtig regeln
Chatbots sind nicht nur zum Sprechen da
Ein Chatbot ist zwar ein Computerprogramm, das eine natürliche Sprache versteht und mit Menschen über Text oder Sprache kommunizieren kann, er ist jedoch auch in der Lage noch weitere Zwecke zu erfüllen, wie zum Beispiel Informationen bereitstellen, Unterhaltung bieten oder Aufgaben erledigen. Ein Chatbot kann auf verschiedenen Plattformen wie Websites, Apps, sozialen Medien oder Smartphones laufen, die meisten sind inzwischen KI-gestützt. Ein bekanntestes Beispiel ist ChatGPT.
Chatbots können aufgrund ihrer Anwendungsmöglichkeiten unter anderem auch Zusammenfassungen von ganzen Büchern erstellen oder das Beantworten von Fragen aus Handbüchern zu technischen oder softwarebasierten Anwendungen übernehmen. Doch bei so vielen Vorteilen ist der Haken nicht weit: Aus datenschutzrechtlicher, insbesondere aber auch informationssicherheitstechnischer Sicht, können Chatbots ein Problem darstellen.
Diese Erfahrung musste Samsung Semiconductor machen, denn hier kam es nach Freigabe von ChatGPT zu einem Sicherheitsvorfall. Das Hochladen von ansonsten geschütztem Quellcode durch Techniker von Samsung zum Auffinden von Fehlern führte dazu, dass Teile des Codes auch an Nutzer außerhalb von Samsung preisgegeben wurden. Die KI hatte gelernt die Information zu nutzen und stellte bei Anfragen Dritter daher auch Inhalte aus dieser Information zur Verfügung. Im Hinblick auf Informationsabfluss und Geheimhaltung ein großes Problem!
Chatbots in der Anwendung: Welche Risiken bestehen?
- Datensammlung: Chatbots sammeln häufig Informationen über Benutzer, einschließlich persönlicher Daten wie Namen, Kontaktinformationen und Präferenzen. Wenn diese Daten nicht angemessen geschützt oder gespeichert werden, können Dritte Zugang erhalten.
- Mangelnde Transparenz: Über die Sammlung dieser Daten, deren Art und Zwecke sowie mögliche Empfänger, wird seitens der Anbieter oft nur unzureichend aufgeklärt.
- Zweckentfremdung von Daten: Daten, die von Chatbots gesammelt werden, dürfen nur für den vorgesehenen Zweck verwendet werden. Wenn diese Daten ohne Zustimmung des Benutzers für andere Zwecke genutzt werden, kann dies gegen Datenschutzgesetze oder die Interessen des anwendenden Unternehmens verstoßen.
- Fehlende Einwilligung: In einigen Fällen kann die Einwilligung der Benutzer erforderlich sein, bevor Daten durch den Chatbot gesammelt oder verarbeitet werden dürfen. Dies stellt dann einen Datenschutzverstoß dar.
- Aufbewahrung und Löschung von Daten: Die ordnungsgemäße Aufbewahrung und Löschung von reinen Benutzerdaten sind wichtige Datenschutzaspekte.
- Diskriminierung und Voreingenommenheit: Werden Künstliche Intelligenzen mit unzureichenden oder voreingenommenen Daten trainiert, können Chatbots falsche oder unfaire diskriminierende Entscheidungen treffen.
- Sicherheitslücken: Schlecht gesicherte Chatbot-Systeme können anfällig für Hacking und Datenlecks sein. Durch geschickt formulierte Prompts (Eingaben) kann auf gesammelte Daten von Nutzern einschließlich deren Anfragen und Antworten zugegriffen werden.
Chatbots und ihre Risiken: Was muss getan werden?
Am 13.11.23 wurde seitens des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit eine Checkliste zum Einsatz KI-basierter Chatbots veröffentlicht, diese dient dem Folgenden als Vorlage:
- Compliance Regelungen: Vorgabe klarer interner Regeln mit zugelassenen und nicht zugelassenen Einsatzszenarien. Somit wird ein Wildwuchs an Auslegungen verhindert.
- Bereitstellen von Funktions-Accounts: Die Beschäftigten sollen nicht eigenständig und unter Verwendung privater Daten ein Konto erstellen. Die bereitgestellten Accounts sollen nicht an einzelne Beschäftigte gebunden sein, um auch Profilbildungen über Einzelpersonen zu vermeiden. Personalisierung muss vermieden werden.
- Nutzung sicherer bzw. starker Authentifizierungen: Angreifer können ansonsten Zugriff auf persönliche Informationen oder Geschäftsgeheimnisse gelangen.
- Keine Eingabe personenbezogener Daten: Anbieter nutzen die angegebenen Daten auch für eigene Zwecke! Ein Bezug zu Beschäftigten, Kunden und Geschäftspartnern muss vermieden werden.
- Keine Ausgabe personenbezogener Daten: Auch Ergebnisse sollten ohne Personenbezug sein. Die Frage, "welche Personen haben Interesse an Produkt X" kann zu einer Angabe von Personen führen. Die Eingaben sollten also so formuliert sein, dass kein Bezug zu Einzelpersonen hergestellt werden kann.
- Vorsicht bei personenbeziehbaren Daten: Künstliche Intelligenzen stellen Zusammenhänge und Querbeziehungen her, daher sind im Ergebnis unter Umständen auch Rückschlüsse auf Autoren oder Betroffene zu ziehen.
- Nutzung des Opt-Out für KI-Training: Wenn möglich sollte die Option der Verwendung Ihrer Daten zu Trainingszwecken deaktiviert werden. Bei ChatGPT ist das Opt-out beispielsweise derzeit über die Einstellungen möglich: ••• → Setting → Data Controls → Chat history and training.
- Opt out der History: Chatbasierte Dienste bieten häufig an bisherige Eingaben zu speichern, um den Dialog zu einem Thema an einem späteren Zeitpunkt wieder aufnehmen zu können. Damit ist zwangsläufig eine Verkettung der Eingaben einer Person verbunden. Insbesondere bei der gemeinsamen Nutzung durch mehrere Beschäftigte sollte die History abgewählt werden, da Inhalte ansonsten für alle Kollegen einsehbar sind.
- Ergebnisse auf Richtigkeit prüfen: Chatbots mit Large Language Modellen nutzen Wahrscheinlichkeitsrechnungen für die Texterstellung. Wahrscheinlichkeiten haben nichts mit Fakten, beziehungsweise korrekten Informationen zu tun. Die Künstliche Intelligenz "halluziniert" gerne, man muss die Grenzen des Systems kennen.
- Ergebnisse auf Diskriminierung prüfen: Anhand des Trainings kann eine Künstliche Intelligenz voreingenommen sein. So könnten im Bewerbungsumfeld bestimmte Personengruppen bevorzugt werden.
- Keine automatisierte Letztentscheidung: Entscheidungen mit Rechtswirkung sollten grundsätzlich nur von Menschen getroffen werden. Hier gelten zudem die Vorgaben des Art. 22 DSGVO Automatisierte Entscheidungen.
- Beschäftigte sensibilisieren: Einweisungen über Schulungen, Leitfäden und Gesprächen zur richtigen Nutzung von KI-Tools.
- Datenschutz ist nicht alles: Natürlich sollten Sie den Datenschutzbeauftragten Ihres Unternehmens frühzeitig miteinbinden, denn der Schutz personenbezogener Daten durch KI-Systeme darf nicht unterlaufen werden. Es gelten aber auch Aspekte wie Urheberrecht und Geschäftsgeheimnisse zu regeln.
Chatbots im Einsatz: Muss gleich gehandelt werden?
In Microsoft Edge besteht die Handlungsmöglichkeit, die KI-Funktionen zu nutzen, weshalb in jedem Unternehmen eine Regelung zum Einsatz von KI-gestützten Chatbots imminent ist. Auf EU-Ebene wird aktuell die Regulierung Künstlicher Intelligenz vorbereitet. Die künftige KI-Verordnung betrifft voraussichtlich nicht nur die Anbieter solcher Dienste, sondern auch bestimmte Nutzer. Aufgrund fortschreitender technischer Lösungen und laufender Updates auf neue Systeme und Sprachmodelle, sollte regelmäßig überprüft werden, ob die internen Vorgaben angepasst werden müssen. Zudem prüfen die Datenschutzbehörden gerade in Musterverfahren, ob die am Markt befindlichen Sprachmodelle grundsätzlich rechtmäßig sind.
Der sichere Umgang mit ChatGPT & Co. ist ein umfangreiches und wichtiges Thema, das nicht auf die leichte Schulter genommen werden sollte. Den Chatbot-Einsatz richtig regeln? Setzen Sie auf das Wissen und die Expertise von erfahrenen Expertinnen und Experten – wir unterstützen Sie gerne!